开源中文网

您的位置: 首页 > Linux应用 > Resin > 正文

Resin配置SSL双向认证

来源: csdn博客  作者: 标叔

  前几天有个项目需要做SSL双向认证,查找了半天才摸出点门道,现在记录下综合前辈思想的配置方法。
    Resin支持多种SSL证书的文件格式,包括Java Keystore, PKCS12, Openssl等。目前Openssl仅在Resin 3.2 Professionial 版本才可以获得支持。但在Resin 2和Resin 3的开源版本中都可以支持Java Keystore, PKCS12。
    本文将使用JDK的keytool来为Resin配置双向SSL认证。
    JDK1.6.10
    Resin-3.1.6
============================================================================
一 生成服务器证书
   使用keytool为Resin生成证书,假定服务器的域名是"aa.bb.com",keystore文件存放在"/usr/resin/conf",口令为“123456”,使用下面的命令:
/usr/local/jdk/bin/keytool -genkey -v -alias resin -validity 3650 -keyalg RSA -keystore /usr/resin/conf/server.keystore -dname "CN=aaa.bb.com,OU=a,O=a,L=SH,ST=SH,C=CN" -storepass 123456 -keypass 123456
二 生成客户端证书
   生成IE能使用的证书,所以其格式将是PKCS12,使用下面的命令来完成:
/usr/local/jdk/bin/keytool -genkey -v -alias resin -validity 3650 -keyalg RSA -storetype PKCS12 -keystore /usr/resin/conf/client.p12 -dname "CN=aaa.bb.com,OU=a,O=a,L=SH,ST=SH,C=CN" -storepass 123456 -keypass 123456
三 服务端信任客户端
   由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,所以要先把客户端证书导出为一个单独的CER文件,命令如下:
/usr/local/jdk/bin/keytool -export -alias resin -keystore /usr/resin/conf/client.p12 -storetype PKCS12 -rfc -file /usr/resin/conf/client.cer
    下一步是把生成的.cer文件添加到服务器的信任证书库,是其成为服务器的信任证书,命令如下:
/usr/local/jdk/bin/keytool -import -v -file /usr/resin/conf/client.cer -keystore /usr/resin/conf/server.keystore
     通过list命令可以查看服务器的证书库,在里面讲看到两个证书,一个服务端的、一个客户端的。
四 将客户端证书导入cacerts密钥库
/usr/local/jdk/bin/keytool -import -v -trustcacerts -storepass changeit -alias resin -file /usr/resin/conf/client.cer -keystore /usr/local/jdk/jre/lib/security/cacerts
五 配置Resin
    在Resin的配置文件中添加如下配置:
                <http address="*" port="443">
                <jsse-ssl>
                <key-store-type>jks</key-store-type>
                <key-store-file>/usr/resin/conf/server.keystore</key-store-file>
                <password>123456</password>
                <verify-client>required</verify-client>
                </jsse-ssl>
                </http>
<verify-client>required</verify-client>此项是开启双向认证。

配置完成重启Resin服务,将client.p12文件导入IE浏览器即可访问。https://aaa.bb.com.



          访问地址可尝试:https:/localhost:443.  

转载地址:http://my.chinaunix.net/space.php?uid=20732914&do=blog&id=7528   发现linux下这方面的东西还是比较少的。

resin的配置文件是resin.conf      resin在linux下,解压后在lib下:Java -jar resin.jar 启动即可。

Tags:双向
相关文章列表:
关于开源中文网 - 联系我们 - 广告服务 - 网站地图 - 版权声明