我希望使用SSL客户端证书来验证连接到Tomcat6/7的用户。我已经正确配置了Tomcat,并且使用信任库中的证书签名的证书可以成功地从IE和Firefox进行身份验证。
我还想链接客户端证书,因为我想给客户管理自己的用户的能力。我可以通过向客户发放一个中间管理CA证书来实现这一点,他们将使用该证书签署其他用户证书。我需要用户的浏览器发送用户证书,与管理CA(由我的根证书签名)链接以进行身份验证。
我正在使用openssl,并且已创建了根CA和中间CA,并使用中间CA签署了叶证书。我已将所有三个证书转换为pkcs12和pem,并使用keytool将根证书导入用于Tomcat的信任库中。openssl-verify将根据中间证书验证叶pkcs12(中间验证根)。但我无法使叶证书(pkcs12)针对根证书(pkcs12)进行验证。我也无法使用叶证书进行身份验证,无论是IE还是Firefox。IE会提示我输入证书,但无法进行身份验证(在Tomcat的日志中没有提及连接或失败)。Firefox不会提示叶证书;它只是无法进行身份验证。
以下是我如何使用openssl验证叶针对根:
以下是我用来生成三个证书的脚本:
root.bat:
我还想链接客户端证书,因为我想给客户管理自己的用户的能力。我可以通过向客户发放一个中间管理CA证书来实现这一点,他们将使用该证书签署其他用户证书。我需要用户的浏览器发送用户证书,与管理CA(由我的根证书签名)链接以进行身份验证。
我正在使用openssl,并且已创建了根CA和中间CA,并使用中间CA签署了叶证书。我已将所有三个证书转换为pkcs12和pem,并使用keytool将根证书导入用于Tomcat的信任库中。openssl-verify将根据中间证书验证叶pkcs12(中间验证根)。但我无法使叶证书(pkcs12)针对根证书(pkcs12)进行验证。我也无法使用叶证书进行身份验证,无论是IE还是Firefox。IE会提示我输入证书,但无法进行身份验证(在Tomcat的日志中没有提及连接或失败)。Firefox不会提示叶证书;它只是无法进行身份验证。
以下是我如何使用openssl验证叶针对根:
openssl verify -CAfile ..\root\Root.pem Leaf.pem
以下是我用来生成三个证书的脚本:
root.bat:
set name=Root
set keyPassword=dummypassword
set trustPassword=dummypassword
openssl genrsa -des3 -passout pass:%keyPassword% -out %name%.key 4096
openssl req -new -key %name%.key -passin pass:%keyPassword% -out %name%.csr -subj "/C=US/ST=Chaos/L=TimeNSpace/O=None/CN=%name%"
openssl x509 -req -days 3650 -in %name%.csr -signkey %name%.key -passin pass:%keyPassword% -extfile GenerateCertificate.cfg -extensions v3_ca -out %name%.crt
openssl pkcs12 -export -in %name%.crt -inkey %name%.key -passin pass:%keyPassword% -passout pass:%keyPassword% -out %name%.pkcs12
keytool -noprompt -import -file %name%.crt -alias %name% -keystore %name%.truststore -deststorepass %trustPassword%
keytool -list -v -keystore %name%.truststore -storepass %trustPassword% > %name%.truststore.dump.txt
keytool -exportcert -alias %name% -keystore %name%.truststore -storetype jks -storepass %trustPassword% -rfc -file %name%.truststore.pem
openssl pkcs12 -in %name%.pkcs12 -out %name%.pem -nodes -passin pass:%keyPassword%
intermediate.bat:
set name=Intermediate
set password=dummypassword
set caDir=../root
set caName=Root
set caPassword=dummypassword
openssl genrsa -des3 -passout pass:%password% -out %name%.key 2048
openssl req -new -key %name%.key -passin pass:%password% -out %name%.csr -subj "/C=US/ST=Chaos/L=TimeNSpace/O=None/CN=%name%"
openssl x509 -req -days 3650 -in %name%.csr -CA %caDir%/%caName%.crt -CAkey %caDir%/%caName%.key -passin pass:%caPassword% -set_serial 1 -extfile GenerateCertificate.cfg -extensions v3_ca -out %name%.crt
openssl pkcs12 -export -in %name%.crt -inkey %name%.key -passin pass:%password% -passout pass:%password% -chain -CAfile %caDir%/%caName%.crt -out %name%.pkcs12
openssl pkcs12 -in %name%.pkcs12 -out %name%.pem -nodes -passin pass:%password%
leaf.bat:
set name=Leaf
set password=dummypassword
set caDir=../intermediate
set caName=Intermediate
set caPassword=dummypassword
openssl genrsa -des3 -passout pass:%password% -out %name%.key 2048
openssl req -new -key %name%.key -passin pass:%password% -out %name%.csr -subj "/C=US/ST=Chaos/L=TimeNSpace/O=None/CN=%name%"
openssl x509 -req -days 3650 -in %name%.csr -CA %caDir%/%caName%.crt -CAkey %caDir%/%caName%.key -passin pass:%caPassword% -set_serial 1 -out %name%.crt
openssl pkcs12 -export -in %name%.crt -inkey %name%.key -passin pass:%password% -passout pass:%password% -chain -CAfile %caDir%/%caName%.pem -out %name%.pkcs12
openssl pkcs12 -in %name%.pkcs12 -out %name%.pem -nodes -passin pass:%password%
GenerateCertificate.cfg:
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true,pathlen:3