1. 根证书的申请
准备根证书
准备一些空目录和文件,作用如下:
• certs/ 保存颁发的所有证书的副本
• index.txt 跟踪已颁发的证书,初始为空
• openssl.cnf openssl和根证书的配置文件
• private/ CA证书的私钥
• serial 最后一次颁发的证书的序列号,初始值01,也可以是00等其它值
openssl.cnf内容如下,我一气儿弄了10年的有效期:
[ ca ] default_ca = FwolfCA [ FwolfCA ] dir = /big2/tools/ca
certificate = $dir/cacert.pem database = $dir/index.txt new_certs_dir = $dir/certs private_key = $dir/private/cakey.pem serial = $dir/serial default_crl_days= 7 default_days = 3650 default_md = sha1 policy = FwolfCA_policy x509_extensions = certificate_extensions [ FwolfCA_policy ] commonName = supplied stateOrProvinceName = supplied
stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName= supplied organizationalUnitName = optional [ certificate_extensions ] basicConstraints= CA:false # 下面是根证书的配置信息 [ req ] default_bits = 4096 default_keyfile = /big2/tools/ca/private/cakey.pem default_md = sha1 prompt = no
distinguished_name = root_ca_distinguished_name x509_extensions = root_ca_extensions [ root_ca_distinguished_name ] commonName = Fwolf CA stateOrProvinceName = The Earth # countryName只能是两位字母 countryName = CN emailAddress=***************************#organizationName = Root Certification Authority organizationName = Fwolf CA Root [ root_ca_extensions ] basicConstraints = CA:true 然后生成根证书:
$ openssl req -x509 -newkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config openssl.cnf 会提示输入密码以及确认密码。生成好以后可以验证一下(说是验证,其实就是看看内容):
$ openssl x509 -in cacert.pem -text -noout 给自己颁发证书
$ openssl req -newkey rsa:4096 -keyout office.fwolf.com.key.pem -keyform PEM -out office.fwolf.com.req.pem -outform PEM -sha1 按提示输入两次密码,然后输入几项证书信息,注意其中organizationName必须输入,并且Common Name要和域名一致,比如:
Common Name (eg, YOUR name) []:*.fwolf.com 就生成了私钥key文件和请求req文件,然后把req文件提交给CA根证书签署(盖章):
$ openssl ca -in office.fwolf.com.req.pem -config openssl.cnf
输入根证书的密码,就会在certs/目录下生成.pem证书文件,文件名以serial中的序号开头,信息会存储在index.txt中。
这样生成的证书,在apache中配置需要两条语句,分别指定证书和私钥:
SSLEngine On SSLCertificateFile /big2/tools/ca/certs/office.fwolf.com.cert.pem SSLCertificateKeyFile /big2/tools/ca/certs/office.fwolf.com.key.pem 其实这两个文件是可以合并为一个文件的:
$ cat office.fwolf.com.key.pem office.fwolf.com.cert.pem > office.fwolf.com.pem 然后在配置apache的时候就只需要一句了:
SSLEngine On SSLCertificateFile /big2/tools/ca/certs/office.fwolf.com.pem 其它
去掉证书的口令
现在证书基本上就可以使用了,再返回来说一个问题,就是在启动apache的时候会提示输入私钥的口令,要想去掉这个(一般都不会喜欢这样的),就要求在生成私钥的时候不要设置口令:
$ openssl req -newkey rsa:4096 -keyout office.fwolf.com.key.pem -keyform PEM -out office.fwolf.com.req.pem -outform PEM -sha1 -nodes 生成根证书的时候还是建议带上个口令,提高安全性。
index.txt
另外,如果要清空index.txt的话,一定要清空到字节0,里面有一个字节都会导致openssl ca错误:
wrong number of fields on line 1 (looking for field 6, got 1, '' left) 证书吊销
$ openssl ca -revoke office.fwolf.com.cert.pem # 生成CRL列表 $ openssl ca -gencrl -out exampleca.crl # 查看CRL列表信息 $ openssl crl -in exampleca.crl -text -noout # 验证CRL列表签名信息 $ openssl crl
-in exampleca.crl -noout -CAfile cacert.pem 可以看到CRL的版本号为1,这是OpenSSL默认的,除非crl_extensions被指定在配置文件ca一节中。
上传到MT主机上应用
首先在Server > Certificates >中Add New Certificate,填上Add New Certificate(自己起),然后选下面的Private key私钥文件和Certificate证书文件上传,就存到服务器上了。
然后返回证书列表,选中新上传证书前面的复选框,点上面的链接Make default for Web sites设置为网站默认证书,也可以通过Secure control panel将其设置为控制面板所使用的证书。
还没完,证书还得加到ip上才能生效,Server > IP Addresses >中修改ip地址属性,在SSL Certificate中选择刚才上传的证书,保存,就立刻生效了。
基于ssl/https协议的特性,一个ip上只能使用一个证书,所以合租用户是无法自己上传或者选择其它证书的,不过我现在使用的证书是签给“*”的,也就是所有域名都可以使用,“好看”一点。让我不理解的是,如果在访问一个域名时同意了这个证书,在访问另外一个域名的时候还得再同意一遍,也就是证书和域名是要配套使用的,和我原先的想法不太一致。
4.密钥和证书管理
密钥和证书管理是PKI的一个重要组成部分,OpenSSL为之提供了丰富的功能,支持
多种标准。
首先,OpenSSL实现了ASN.1的证书和密钥相关标准,提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序,同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能,使得密钥可以安全地进行存储和分发。
在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。
事实上,OpenSSL提供的CA应用程序就是一个小型的证书管理中心(CA),实现了证书签发的整个流程和证书管理的大部分机制。
下面说说俺在实际应用中证书的生成。
1.初始化CA:OPENSSL req -x509 -config 此处写配置文件的路径和名称 -extensions 此处为配置文件的根证书扩展配置 -newkey rsa:此处为编码大小 -keyout 此处为输出密钥的文件名称 -out 此处为输出根证书名称 -passout pass:此处为根证书密码 -days 此处为有效期,为天数。
当执行完此命令,便生成了根证书的私钥和根证书。
2.建立服务器证书:
建立请求:OPENSSL req -new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出请求 -config 配置文件 -days 有效期 -nodes(输出密钥和请求为同一文件)
建立newcert:OPENSSL ca -config 配置文件 -policy 配置文件中的段 -days 有效期 -out newcert.pem文件 -passin pass:CA密钥 -batch -extensions 配置文件中的段 -infiles 请求文件
建立PKCS12格式证书:RANDFILE=random文件路径 OPENSSL pkcs12 -export -in newcert.pem路径 -inkey 请求的密钥文件 -certfile CA证书文件 -caname CA名称 -out 输出的pfx文件 -clcerts -name commonname -passout pass:
RANDFILE=random文件路径 OPENSSL pkcs12 -in pfx文件 -out 输出的pem证书文件 -passin pass: -passout pass:
建立DER格式证书:OPENSSL x509 -in 以上建立的pem证书文件 -out der证书文件 -inform PEM -outform DER
3.建立用户证书:
建立请求:OPENSSL req -new -newkey rsa:此处为密钥大小 -keyout 输出用户私钥文件 -out 输出用户请求 -config 配置文件 -days 有效期(天)-nodes
建立证书:OPENSSL ca -config 配置文件 -in 请求文件 -out /dev/null -notext -days 有效期 -passin pass:CA密码 -batch -extensions 配置文件中的段
建立der格式证书:OPENSSL -x509 -in 用户证书(上一步生成的证书,在配置文
件中指定了) -out 输出der证书 -inform PEM -outform DER
建立pfx格式证书:RANDFILE=random文件路径 OPENSSL pkcs12 -export -in 用户证书 -inkey 用户密钥 -certfile CApem证书文件 -caname CA组织名称 -out 输出pfx文件 -name commonname -passout pass:
以上为我在应用中使用到的命令,提供出来供大家参考。
服务器证书与用户证书为平级关系,只是配置文件不同,配置证书的配置文件在网上很多,这里就不赘述。
openssl 的一些参数:
openssl dhparam [-inform DER|PEM] [-outform DER|PEM] [-in filename]
[-out filename] [-dsaparam] [-noout] [-text] [-C] [-2] [-5]
[-rand file(s)] [numbits]
-inform DER|PEM
指定输入的格式是DEM还是DER. DER格式采用ASN1的DER标准格式。一般用
的多的都是PEM格式,就是base编码格式.你去看看你做出来的那些.key, .crt文件一般都是PEM格式的,第一行和最后一行指明内容,中间就是经过编码的东西。
-outform DER|PEM
和上一个差不多,不同的是指定输出格式
-in filename
要分析的文件名称。
-out filename
要输出的文件名。
-dsaparam
如果本option被set, 那么无论输入还是输入都会当做DSA的参数。它们再被转化成DH的参数格式。这样子产生DH参数和DH key都会块很多。会使SSL握手的时间缩短。当然时间是以安全性做牺牲的,所以如果这样子最好每次使用不同的参数,以免给人K破你的key.
-2, -5
使用哪个版本的DH参数产生器。版本2是缺省的。如果这俩个option有一个被set, 那么将忽略输入文件。
-rand file(s)
产生key的时候用过seed的文件,可以把多个文件用冒号分开一起做seed.
numbits
指明产生的参数的长度。必须是本指令的最后一个参数。如果没有指明,则产生512bit长的参数。
-noout
不打印参数编码的版本信息。
-text
将DH参数以可读方式打印出来。
-C
将参数转换成C代码方式。这样可以用get_dhnumbits()函数调用这些参数。
openssl还有俩个指令, dh, gendh, 现在都过时了,全部功能由dhparam实现。
现在dh, gendh这俩个指令还保留,但在将来可能会用做其他用途。
本文将介绍如何利用Tomcat的HTTPS功能,和一个自己创建的CA,来构建WEB服务器证书和个人数字证书,最终建成一个HTTPS双向认证环境(可以用于测试目的)。本文构建HTTPS双向认证的业务流程大致如下:
1. 创建WEB服务器公钥密钥,并生成服务器证书请求。
2. 利用自建的CA,根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。
3. 利用openssl生成客户端(IE)使用的个人数字证书,也由同样的CA签发个人证书。
4. 将个人数字证书(PKCS12格式,包含密钥)导入到浏览器(IE/Firefox)后,就可以进行HTTPS测试了。
一. 选择HTTPS WEB服务器
这里我们选择了Tomcat。当然还有其它方法,如Apache+Tomcat,让Apache配置成HTTPS模式,而Tomcat只做HTTP业务处理,这样有利于提高性能,但本文只建造一个简单的HTTPS测试环境,只用Tomcat自带的HTTPS功能。(当然,我以后会考虑
研究一下Apache+Tomcat模式,到时再和大家一起分享经验)
二. 创建一个自己的CA
创建一个自己的CA来模拟HTTPS构建环境(利用CA签发证书),不仅有利于了解PKI概念,而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用CA我已在本博客发文,题目为《利用openssl创建一个简单的CA》,请参考http://blog.csdn.net/jasonhwang/archive/2008/04/26/23295.aspx 这里就不再重述了。
另外,如果你真的觉得建一个CA比较麻烦,且只使用几个个人数字证书的话,当然也可以不建CA,下面章节也会提到不用CA如何构建双向认证。
三. 创建服务器公钥密钥及颁发服务器证书
实际上有两种方法生成服务器证书,一种是用JDK带的keytool,另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种,因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥,便于用wireshark(ethereal的新名字)查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥,但还要编程去弄,太麻烦了。
方法一,用keytool创建服务器公钥密钥并用CA签发服务器证书:
keytool是JDK自带的工具程序,确保keytool已在PATH路径里(或在以下命令里指明keytool的全路径,如$JAVA_HOME/bin/keytool)。
1. 用keytool生成服务器公钥密钥:
在TOMCAT的conf目录里执行以下命令(假设conf目录路径为$TOMCAT_HOME/conf/):
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname \"CN=servername, OU=servers, O=ABCom\"
注:其中DN(证书的唯一取别名)里的CN最好是服务器的域名地址或IP地址(因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时,会报一个警告,不过这个问题不大)。
2. 生成服务器证书请求,并让测试CA签发服务器证书
实际上本步骤也可以省略,唯一不好的结果是用户在开始访问服务器HTTPS服务时,会跳一个窗口警告用户,用户可以在该窗口里看到服务器证书是一个自签名的证书(用服务器私钥自己给自己签发的证书,keytool生成公钥密钥时自动生成这种证书)。但只要用户选择“信任该证书”,也照样可以与服务器建立HTTPS连接。
但正规的HTTPS服务器,还是应该申请一个服务器证书比较好。
2.1 生成服务器证书请求:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem
以下命令可以查看一下证书请求的内容:
openssl req -in serverreq.pem -text -noout
2.2 用测试CA签署服务器证书:
把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了:
openssl ca -in serverreq.pem -out servercert.pem -config
\"$HOME/testca/conf/testca.conf\"
执行过程中需要输入CA私钥的保护密码。
2.3 把服务器证书导回到服务器的keystore里:
前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书($HOME/testca/cacert.pem)拿来,一起放到Tomcat的conf目录里。
另外导入前,还有一个工作需要做,需要手工编辑servercert.pem证书文件,把‘-----BEGIN CERTIFICATE-----’该行前的所有内容都删掉,因为keytool不认得这些说明性的内容。
导入前也可以执行命令查看一下证书内容:
keytool -printcert -file servercert.pem
导入服务器证书:
先导入CA的证书:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
再导入服务器证书:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem
导入后可以用以下命令查看一下keystore里的内容:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v
3. 创建服务器信任的客户端CA证书库:
用keytool创建一个证书库,里面存放服务器信任的CA证书,也就是只有这些CA签发的客户端个人证书才被服务器信任,才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注:如果只是测试目的,为了简单期间,也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。
这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测
试CA签发的,所以我们要把cacert.pem证书导入信任证书库:
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
可以用以下命令查看信任证书库内容:
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v
4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):
修改tomcat的conf目录里的server.xml文件
($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:
enableLookups=\"false\" disableUploadTimeout=\"true\" acceptCount=\"100\" debug=\"0\" scheme=\"https\" secure=\"true\" clientAuth=\"true\" sslProtocol=\"TLS\" keystoreFile=\"conf/tomcat.jks\" keystorePass=\"222222\" keystoreType=\"JKS\" truststoreFile=\"conf/truststore.jks\" truststorePass=\"222222\" truststoreType=\"JKS\" /> (题外话:其实HTTPS单向和双向认证配置的唯一区别是,把clientAuth改为false,去掉truststore的相关配置,就是单向HTTPS认证了,单向HTTPS用的可能更多,它主要在浏览器与f服务器交互的HTTP需要加密,而不需要验证客户端证书时使用。) 经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。 方法二,用openssl创建服务器公钥密钥并用CA签发服务器证书: 前面已经提到过,这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。 其实,这种方法与《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法很类似(请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节)。 1. 制作服务器证书(最终形成一个pkcs12文件,包含服务器密钥、证书和CA的证书) 假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里: mkdir -p \"$HOME/testca/test/server\" cd \"$HOME/testca/test/server\" 2.1 创建服务器公钥密钥,并同时生成一个服务器证书请求: openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem -outform PEM \\ -subj \"/O=ABCom/OU=servers/CN=servername\" 执行命令过程中输入密钥保护密码222222。 执行后可以用以下命令查看请求内容: openssl req -in serverreq.pem -text -noout 2.2 用测试CA签署服务器证书: 把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了: openssl ca -in serverreq.pem -out servercert.pem -config \"$HOME/testca/conf/testca.conf\" 执行过程中需要输入CA私钥的保护密码。 执行完后可以用以下命令查看证书内容: openssl x509 -in servercert.pem -text -noout 导入信任的CA根证书到Java的默认位置 keytool -import -v -trustcacerts -storepass changeit -alias root_aisce -file c:\\root\\ca-cert.pem -keystore %JAVA_HOME%\\jre\\lib\\security\\cacerts 2.3 制作服务器pkcs12文件(包含服务器密钥、证书和CA的证书) openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem \\ -out tomcat.p12 -name tomcat -CAfile \"$HOME/testca/cacert.pem\" \\ -caname root -chain 执行过程中要输入服务器密钥的保护密码(serverkey.pem)和新生成的tomcat.p12的保护密码,我们都输入222222。 创建完成后,把pkcs12文件拷贝到tomcat的conf目录下。 3. 创建服务器信任的客户端CA证书库: 同方法一的对应章节,这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库: keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem可以用以下命令查看信任证书库内容: keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v 4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书): 修改tomcat的conf目录里的server.xml文件 ($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下: enableLookups=\"false\" disableUploadTimeout=\"true\" acceptCount=\"100\" debug=\"0\" scheme=\"https\" secure=\"true\" clientAuth=\"true\" sslProtocol=\"TLS\" keystoreFile=\"conf/tomcat.p12\" keystorePass=\"222222\" keystoreType=\"PKCS12\" truststoreFile=\"conf/truststore.jks\" truststorePass=\"222222\" truststoreType=\"JKS\" /> 注意:其中keystore的keystoreType与方法一的配置不同。经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。 四. 创建用于客户端(浏览器)测试的个人数字证书(pkcs12格式) 完全按照《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法来进行,请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节。 1. 创建个人密钥和证书请求(证书请求里包含了公钥) 创建$HOME/testuser1目录并执行命令:(证书等都放到这个目录) mkdir $HOME/testuser1 cd $HOME/testuser1 openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj \"/O=TestCom/OU=TestOU/CN=testuser1\" 执行过程中需要输入私钥的保护密码,假设我们输入密码: 222222 执行完后,testkey.pem即为用户的密钥,而testreq.pem即为证书请求。 可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。 2. 用CA为testuser1签发个人证书 同样还在$HOME/testuser1目录下执行命令: openssl ca -in testreq.pem -out testcert.pem -config \"$HOME/testca/conf/testca.conf\" 执行过程中需要输入CA的密钥保护密码(刚才设置的888888),并且最后询问你是否要给该用户签发证书时要选y。 执行完后,testcert.pem即为证书, 可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。 3. 制作PKCS12文件(个人数字证书) 我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。 把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令: openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile \"$HOME/testca/cacert.pem\" 执行过程中需要输入保护密钥的密码(222222),以及新的保护pkcs12文件的密码(222222)。 执行完后,若要查看testuser1.p12的内容可以用命令openssl pkcs12 -in testuser1.p12 该testuser1.p12即为pkcs12文件。你可以直接拷贝到windows下,作为个人数字证书,双击导入IE后就可以使用了。 五. 用一个简单webapp来测试HTTPS 服务器证书和个人证书都准备好了,我们可以写一个简单的webapp,里面只有一个jsp,用于查看https客户端验证是否起效了。 1. 创建webapp用于测试https: 在$TOMCAT_HOME/webapps/里创建一个目录testhttps,并在testhttps目录里创建WEB-INF目录,并在该目录里创建web.xml文件如下: 文件:$TOMCAT_HOME/webapps/WEB-INF/web.xml xsi:schemaLocation=\"http://java.sun.com/xml/ns/j2eehttp://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd\" version=\"2.4\"> 2. 创建一个显示客户端证书信息的JSP: 在testhttps目录创建文件seecert.jsp 文件:$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp <%@ page import=\"java.security.cert.X509Certificate\" contentType=\"text/html; charset=GB2312\" %> <% java.security.cert.X509Certificate[] certs=null; try{ certs=(X509Certificate[])request.getAttribute(\"javax.servlet.request.X509Certificate\"); if (certs == null) { out.println(\"No certificates\"); } else if (certs.length == 0) { out.println(\"Certificates length is 0\"); } else { java.security.cert.X509Certificate cert = certs[0]; String dn = cert.getSubjectX500Principal().toString(); out.println(\"SubjectDN: \" + dn); out.println(); detail--------------------\"); out.println(\"------------------certification out.println(cert); out.println(\"----------------------------------------------------------\"); } } catch(Exception e){ out.println(\"Exception=\" + e.getMessage()); } %> 3. 测试HTTPS并查看客户端证书信息: 访问URL:https:// 在用浏览器访问该URL时,浏览器可能会跳出窗口让你选择用哪个客户端个人证书。 页面打开后,你将看到客户端证书的信息。 六. 使用wireshark(ethereal的新名称)查看HTTPS里加密的HTTP消息: 用wireshark抓包后,你可以看到HTTPS服务器与浏览器之间的HTTPS协商过程,但是HTTPS成功建立后,后续消息是加密的,如何查看加密的HTTP消息呢?你需要借助服务器的密钥(私钥)明文。 假设需要从上面提到的openssl生成的服务器证书tomcat.p12文件里导出密钥明文,生成密钥明文文件方法: openssl pkcs12 -in tomcat.p12 -out clearserverkey.pem -nodes 然后在wireshark的协议定义里找到SSL,并在“RSA keys list”里配置如下内容: 其中: 8443——为HTTPS(SSL)的端口; http——表示SSL里加密的是HTTP协议; 这样,你就能看到wireshark里的SSL协议被解密,且里面的HTTP消息也看到了 服务器端机器名 SSOSERVER http://www.iteye.com/problems/4072 http://www.blogjava.net/alwayscy/archive/2006/12/01/84852.html http://lengjing.iteye.com/blog/12582 // java操作数字证书
因篇幅问题不能全部显示,请点此查看更多更全内容