国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

如何在Tomcat中做TLS客戶端認證

sugarmo / 3237人閱讀

摘要:順便一提,如果要使用客戶端認證就必須使用服務端認證。修改,添加如下可以看到我們開啟了客戶端認證,也開啟了服務端認證。所以如果要正確訪問得像下面這樣,指定證書,以及客戶端自己簽發的證書及測試我們現在用來訪問看看。

常見的https網站做的是服務端認證(server authentication),瀏覽器通過證書判斷你所訪問的https://baidu.com是否真的是百度,而不是其他人偽造的網站。同時還對流量加密,防止別人竊聽你的流量。

tls還可以做客戶端認證(client authentication),即服務端判斷客戶端是否為其所信任的客戶端。由此可見,客戶端認證用于那些需要受控訪問服務端。

在數據中心中,有些服務是非常敏感的,那么我們要做到:

客戶端和我的流量是加密的,防止別人監聽

客戶端能夠確認所訪問的服務端的確是我們提供的服務端,而不是別人偽造的服務端

只有我信任的客戶端可以訪問我,防止惡意請求

所以很明顯,前兩個問題可以通過服務端認證解決,最后一個問題可以通過客戶端認證解決。順便一提,如果要使用客戶端認證就必須使用服務端認證。

先來講講概念然后舉個tomcat的例子講講怎么做。

概念 服務端認證

不論是做Server authentication還是Client authentication都需要證書。證書的來源有兩種:

由權威CA簽發,一般都是去購買。也可以使用let"s encrypt申請免費證書。

自己簽發

在一切可能的情況下都應該使用權威CA簽發的證書,為什么這么建議?因為這里牽涉到一個信任問題,瀏覽器、編程語言SDK和某些工具都維護了一個信任CA證書清單,只要是由這些CA簽發的證書那就信任,否則就不信任。而這個鏈條是可以多級的,這里就不展開了。你只需要知道由信任CA簽發的所有證書都是可信的。比如JDK自帶的信任CA證書可以通過下面命令看到:

keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts

verisignclass2g2ca [jdk], 2016-8-25, trustedCertEntry,
證書指紋 (SHA1): B3:EA:C4:47:76:C9:C8:1C:EA:F2:9D:95:B6:CC:A0:08:1B:67:EC:9D
digicertassuredidg3 [jdk], 2016-8-25, trustedCertEntry,
證書指紋 (SHA1): F5:17:A2:4F:9A:48:C6:C9:F8:A2:00:26:9F:DC:0F:48:2C:AB:30:89
verisignuniversalrootca [jdk], 2016-8-25, trustedCertEntry,
...

讓你輸密碼的時候輸入changeit

如果這個證書不是由信任CA簽發的(比如自己簽發)會發生什么?瀏覽器、編程語言SDK、你所使用的工具會報告以下錯誤:

curl:

curl: (60) SSL certificate problem: self signed certificate in certificate chain

Java:

Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1964)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:328)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:322)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1614)
...

瀏覽器:

這個錯誤實際上就是在告訴你這個證書不可信任,可能是一個偽造站點,讓你小心點兒。如果這個證書由權威CA簽發,那么就沒有這個問題了。但是權威CA簽發的證書要求申請人擁有域名,如果你這個服務是內部使用的沒有域名,那就只能自己簽發了。那么如何解決上面的問題呢?你得把自己簽發的證書加入到信任CA證書清單里。

下圖是權威CA簽發證書的示例:

可以看到客戶端有一個truststore,這個就是存放信任CA證書的地方,服務端有一個keystore,存放的自己的證書及對應的私鑰。

下圖是自簽發證書的示例:

在上面可以看到我們自己成為了一個Root CA,把它放到客戶端的truststore里。

客戶端認證

前面講過客戶端認證是服務端來驗證客戶端是否可信的機制,其實做法和服務端認證類似只不過方向相反。客戶端認證大多數情況下只能是自簽發的(因為沒有域名),雖然不是不可以從權威CA簽發但是存在一些問題。下面解釋為什么,假設權威CA是let"s encrypt,然后服務端信任它簽發的所有證書。但是let"s encrypt是阿貓阿狗都可以申請的,現在有一個黑客申請了這個證書,然后請求你的服務端,服務端就認可了。

上面這個問題可以用這個方法解決:比如你用let"s encrypt申請了A證書,黑客用let"s encrypt申請了B證書,你的服務端的truststore只信任A證書,那么黑客用B證書訪問你的時候就會被拒絕。但是這就帶來另一個問題,比如你在開發的時候客戶端證書有這么幾套:生產用、調試用、開發用,那么每次客戶端簽發一個證書都要更新到你的服務器的truststore里,這也太麻煩了。

所以結合安全性和便利性,我們把自己變成Root CA,然后服務端信任它,這樣一來服務端就可以在開發的時候把Client Root CA內置進去,大大減輕了維護truststore的工作量,看下圖:

用Tomcat舉個例子

下面舉一個Tomcat做客戶端認證的例子,因為是測試用,所以服務端認證也是用的自簽發證書。

我們用了cfssl這個工具來生成證書。

服務端

先弄一套目錄:

# 放自簽發的服務端CA根證書
server-secrets/ca
# 放自簽發的服務端的證書
server-secrets/cert
# 放服務端的keystore和truststore
server-secrets/jks
生成自簽名CA證書

新建文件:server-secrets/ca/server-root-ca-csr.json

內容如下:

{
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "O": "Company",
      "OU": "Datacenter",
      "L": "Shanghai",
      "ST": "Shanghai",
      "C": "CN"
    }
  ],
  "CN": "server-root-ca"
}

運行下面命令生成Server ROOT CA證書:

cfssl gencert --initca=true ./server-root-ca-csr.json | cfssljson --bare server-root-ca

會得到下面幾個文件:

server-secrets/ca/
├── server-root-ca-key.pem
├── server-root-ca.csr
└── server-root-ca.pem

用下面命令驗證證書:

openssl x509 -in ./server-root-ca.pem -text -noout

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0c:8a:1a:ca:da:fa:4c:17:6c:1f:42:40:4c:f1:90:f4:fd:1d:fe:58
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=server-root-ca
        Validity
            Not Before: Mar 27 05:14:00 2019 GMT
            Not After : Mar 25 05:14:00 2024 GMT
        Subject: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=server-root-ca

可以看到簽發人和被簽發人是同一個。

生成自簽發證書

新建文件 server-secrets/cert/server-gencert.json,內容如下:

{
  "signing": {
    "default": {
        "usages": [
          "signing",
          "key encipherment",
          "server auth"
        ],
        "expiry": "87600h"
    }
  }
}

可以看到我們會生成用來做server auth的證書。

新建文件 server-secrets/cert/demo-csr.json,內容如下:

{
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "O": "Company",
      "OU": "Datacenter",
      "L": "Shanghai",
      "ST": "Shanghai",
      "C": "CN"
    }
  ],
  "CN": "server-demo",
  "hosts": [
    "127.0.0.1",
    "localhost"
  ]
}

看上面的hosts,你可以根據自己的需要填寫域名或IP,這里因為是本地演示所以是127.0.0.1和localhost。

運行下面命令生成證書

cfssl gencert 
  --ca ../ca/server-root-ca.pem 
  --ca-key ../ca/server-root-ca-key.pem 
  --config ./server-gencert.json 
  ./demo-csr.json | cfssljson --bare ./demo

得到文件:

server-secrets/cert/
├── demo-key.pem
├── demo.csr
└── demo.pem

驗證結果:

openssl x509 -in ./demo.pem -text -noout

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            1d:d0:51:97:6c:ce:ea:29:2a:f4:3b:3c:48:a3:69:b0:ef:f3:26:7b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=server-root-ca
        Validity
            Not Before: Mar 27 05:17:00 2019 GMT
            Not After : Mar 24 05:17:00 2029 GMT
        Subject: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=server-demo

可以看到簽發者是server-root-ca,Subject是server-demo。

將證書導入keystore

到 server-secrets/jks,執行下面命令生成pkcs12格式的keystore(JDK識別這個格式)

openssl pkcs12 -export 
  -in ../cert/demo.pem 
  -inkey ../cert/demo-key.pem 
  -out server-demo.keystore 
  -name server-demo 
  -CAfile ../ca/server-root-ca.pem 
  -caname root -chain

過程中會讓你輸入密碼,你就輸入:server-demo-ks。

得到文件:

server-secrets/jks/
└── server-demo.keystore

用JDK提供的keytool看看里面的內容:

keytool -list -keystore server-demo.keystore

server-demo, 2019-3-27, PrivateKeyEntry,
證書指紋 (SHA1): B2:E5:46:63:BB:00:E7:82:48:A4:2F:EC:01:41:CE:B4:4B:CE:68:7A

讓你輸入密碼的時候就輸入:server-demo-ks。

客戶端

先弄一套目錄:

# 放自簽發的客戶端CA根證書
client-secrets/ca
# 放自簽發的客戶端的證書
client-secrets/cert
# 放客戶端的keystore和truststore
client-secrets/jks
生成自簽名CA證書

新建文件 client-secrets/ca/client-root-ca-csr.json:

{
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "O": "Company",
      "OU": "Datacenter",
      "L": "Shanghai",
      "ST": "Shanghai",
      "C": "CN"
    }
  ],
  "CN": "client-root-ca"
}

運行下面命令生成Client ROOT CA證書:

cfssl gencert --initca=true ./client-root-ca-csr.json | cfssljson --bare client-root-ca

會得到下面幾個文件:

client-secrets/ca/
├── client-root-ca-key.pem
├── client-root-ca.csr
└── client-root-ca.pem

用下面命令驗證證書:

openssl x509 -in ./client-root-ca.pem -text -noout

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            7e:fc:f3:53:07:1a:17:ae:24:34:d5:1d:00:02:d6:e4:24:09:92:12
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=client-root-ca
        Validity
            Not Before: Mar 27 05:20:00 2019 GMT
            Not After : Mar 25 05:20:00 2024 GMT
        Subject: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=client-root-ca

可以看到簽發人和被簽發人是同一個。

生成自簽發證書

新建文件 client-secrets/cert/client-gencert.json,內容如下:

{
  "signing": {
    "default": {
        "usages": [
          "signing",
          "key encipherment",
          "client auth"
        ],
        "expiry": "87600h"
    }
  }
}

可以看到我們會生成用來做client auth的證書。

新建文件 client-secrets/cert/demo-csr.json,內容如下:

{
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "O": "Company",
      "OU": "Datacenter",
      "L": "Shanghai",
      "ST": "Shanghai",
      "C": "CN"
    }
  ],
  "CN": "client-demo"
}

這里沒有hosts,這是因為我們不需要用這個證書來做服務端認證。

運行下面命令生成證書

cfssl gencert 
  --ca ../ca/client-root-ca.pem 
  --ca-key ../ca/client-root-ca-key.pem 
  --config ./client-gencert.json 
  ./demo-csr.json | cfssljson --bare ./demo

得到文件:

client-secrets/cert/
├── demo-key.pem
├── demo.csr
└── demo.pem

驗證結果:

openssl x509 -in ./demo.pem -text -noout

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            6e:50:e2:2c:02:bb:ef:fd:03:d9:2c:0a:8f:ba:90:65:fb:c4:b5:75
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=client-root-ca
        Validity
            Not Before: Mar 27 05:21:00 2019 GMT
            Not After : Mar 24 05:21:00 2029 GMT
        Subject: C=CN, ST=Shanghai, L=Shanghai, O=Company, OU=Datacenter, CN=client-demo

可以看到簽發者是client-root-ca,Subject是client-demo。

將證書導入keystore

到 client-secrets/jks,執行下面命令生成pkcs12格式的keystore(JDK識別這個格式)

openssl pkcs12 -export 
  -in ../cert/demo.pem 
  -inkey ../cert/demo-key.pem 
  -out client-demo.keystore 
  -name client-demo 
  -CAfile ../ca/client-root-ca.pem 
  -caname root -chain

過程中會讓你輸入密碼,你就輸入:client-demo-ks。

得到文件:

client-secrets/jks/
└── client-demo.keystore

用JDK提供的keytool看看里面的內容:

keytool -list -keystore client-demo.keystore

client-demo, 2019-3-27, PrivateKeyEntry,
證書指紋 (SHA1): 83:AE:0E:5E:0C:CE:86:C9:D1:84:D7:6F:87:F3:76:1F:B4:3E:46:31

讓你輸入密碼的時候就輸入:client-demo-ks。

兩端互信

好了,到此為止server和client的證書都已經生成了,接下來只需要將各自的root-ca添加到彼此都truststore中。

把server-root-ca導入到client的truststore中
cd client-secrets/jks

keytool -importcert 
  -alias server-root-ca 
  -storetype pkcs12 
  -keystore client.truststore 
  -storepass client-ts 
  -file ../../server-secrets/ca/server-root-ca.pem -noprompt

注意上面的-storepass參數,這個是trustore的密碼:client-ts。

得到文件:

client-secrets/jks/
└── client.truststore

用JDK提供的keytool看看里面的內容:

keytool -list -keystore client.truststore

server-root-ca, 2019-3-27, trustedCertEntry,
證書指紋 (SHA1): 75:E3:78:97:85:B2:29:38:25:3C:FD:EC:68:97:9B:78:A0:5F:BB:9D

讓你輸入密碼的時候就輸入:client-ts。

把client-root-ca導入到server的truststore中
cd server-secrets/jks

keytool -importcert 
  -alias client-root-ca 
  -storetype pkcs12 
  -keystore server.truststore 
  -storepass server-ts 
  -file ../../client-secrets/ca/client-root-ca.pem -noprompt

注意上面的-storepass參數,這個是trustore的密碼:server-ts。

得到文件:

server-secrets/jks/
└── server.truststore

用JDK提供的keytool看看里面的內容:

keytool -list -keystore server.truststore

client-root-ca, 2019-3-27, trustedCertEntry,
證書指紋 (SHA1): 1E:95:2C:12:AA:7E:6D:E7:74:F1:83:C2:B8:73:6F:EE:57:FB:CA:46

讓你輸入密碼的時候就輸入:server-ts。

配置Tomcat

好了,我們現在client和server都有了自己證書放在了自己的keystore中,而且把彼此的root-ca證書放到了自己的truststore里。現在我們弄一個tomcat作為server,然后為他配置SSL。

修改tomcat/conf/server.xml,添加如下Connector:


    
        
    

可以看到我們開啟了客戶端認證certificateVerification="required",也開啟了服務端認證。記得修改上面的keystore和truststore的路徑。

修改tomcat/conf/web.xml,添加如下元素:


  
    Automatic Forward to HTTPS/SSL
    /*
  
  
    CONFIDENTIAL
  

這個作用是當訪問8080端口時,都跳轉到8443端口,強制走HTTPS。

啟動tomcat:

tomcat/bin/catalina.sh run
用curl測試

好了,我們現在用curl來測試訪問一下:

curl https://localhost:8443/

curl: (60) SSL certificate problem: self signed certificate in certificate chain
...

看到curl說服務端用的是一個自簽發的證書,不可信,也就是說服務端認證失敗。添加--insecure試試:

curl --insecure https://localhost:8443/

curl: (35) error:1401E412:SSL routines:CONNECT_CR_FINISHED:sslv3 alert bad certificate

這里就說明客戶端認證失敗。

所以如果要正確訪問得像下面這樣,指定server-root-ca證書,以及客戶端自己簽發的證書及private key:

curl --cacert server-secrets/ca/server-root-ca.pem 
  --key client-secrets/cert/demo-key.pem 
  --cert client-secrets/cert/demo.pem 
  https://localhost:8443/



...
Httpclient測試

我們現在用Httpclient來訪問看看。pom.xml中添加依賴:


  org.apache.httpcomponents
  httpclient
  4.5.7

Java代碼,記得把文件路徑改掉:

import org.apache.http.HttpEntity;
import org.apache.http.HttpException;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;
import org.apache.http.util.EntityUtils;

import javax.net.ssl.SSLContext;
import java.io.File;
import java.io.IOException;

public class Client {

  public static void main(String[] args) throws Exception {

    SSLContext sslcontext = SSLContexts.custom()
        .loadTrustMaterial(
            new File("/path/to/client-secrets/demo-jks/client.truststore"),
            "client-ts".toCharArray()
        )
        .loadKeyMaterial(
            new File("/path/to/client-secrets/demo-jks/client-demo.keystore"),
            "client-demo-ks".toCharArray(),
            "client-demo-ks".toCharArray())
        .build();

    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslcontext,
        SSLConnectionSocketFactory.getDefaultHostnameVerifier());

    CloseableHttpClient httpclient = HttpClients.custom()
        .setSSLSocketFactory(sslsf)
        .build();

    HttpGet httpGet = new HttpGet("https://localhost:8443");
    CloseableHttpResponse response = httpclient.execute(httpGet);
    try {
      System.out.println(response.getStatusLine());
      HttpEntity entity = response.getEntity();
      System.out.println(EntityUtils.toString(entity));
    } finally {
      response.close();
    }

  }
}
安全性考慮

所有private key都很重要!如果它被泄漏了,就要回收它所對應都證書。如果CA的private key泄漏了,那么用它簽發的所有證書都要被回收。

keystore和truststore的密碼設置的要復雜一些。

關于反向代理

因為服務端認證所需要的證書直接配置在Tomcat上的,因此在做反向代理的時候不能使用SSL Termination模式,而是得使用SSL Passthrough模式。

其他語言、SDK、工具

上面講的方法不是只適用于Tomcat和Httpclient的,TLS的服務端認證與客戶端認證應該在絕大部分的語言、SDK、類庫都有支持,請自行參閱文檔實踐。文中的keystore和truststore是Java特有的,不過不必迷惑,因為它們僅僅起到一個存放證書和private key的保險箱,有些語言或工具則是直接使用證書和private key,比如前面提到的curl。

參考資料

cfssl

SSL/TLS Configuration HOW-TO

SSL Support

CONFIGURING TOMCAT SSL CLIENT/SERVER AUTHENTICATION,這篇文章有點古老了,server.xml的配置方式已經不一樣了,僅供參考。

ClientCustomSSL.java

JSSE Reference Guide

一些基礎概念:

Basics of Digital Certificates and Certificate Authority,基礎概念,挺重要

Create Your Own Certificate and CA,這篇文章挺重要的,主要講了如何使用keytool和openssl來生成證書的過程

Introducing TLS with Client Authentication

The magic of TLS, X509 and mutual authentication explained

其他運用客戶端認證的軟件的相關文檔,很有啟發:

Etcd - Play etcd TLS部分

Etcd - Example 2: Client-to-server authentication with HTTPS client certificates

Coreos - Generate self-signed certificates

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/73971.html

相關文章

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<