https安全訪問方案Jboss雙向SSL認(rèn)證

1、Jboss中配置SSL雙向認(rèn)證（CA Key）系統(tǒng)需求： Jdk5.0以上 Jboss第一步：為服務(wù)器生成證書使用keytool為jboss生成證書，假定目標(biāo)機(jī)器的域名是“l(fā)ocalhost”，keystore文件存放在“C:tomcat.keystore”,口令為“password”，使用如下命令生成：keytool -genkey -alias jboss -keyalg RSA -keystore C:jboss.keystore -dname "CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn" -keypass passwo

2、rd -storepass password如果Jboss所在服務(wù)器的域名不是“l(fā)ocalhost”，應(yīng)改為對應(yīng)的域名，如：，否則瀏覽器會(huì)彈出警告窗口，提示用戶證書與所在域不匹配。在本地做開發(fā)測試時(shí)，應(yīng)填入“l(fā)ocalhost”第二步：為客戶端生成證書為瀏覽器生成證書，以便讓服務(wù)器來驗(yàn)證它。為了能將證書順利導(dǎo)入至IE和Firefox，證書格式應(yīng)該是PKCS12，因此，使用如下命令生成：keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore C:my.p12 -dname "CN=MyKey, OU

3、=cn, O=cn, L=cn, ST=cn, C=cn" -keypass password -storepass password對應(yīng)證書庫存放在“C:my.p12”，客戶端的CN可以是任意值。稍候，我們可以把這個(gè)“my.p12”導(dǎo)入到瀏覽器中。第三步：讓服務(wù)器信任客戶端證書由于是雙向SSL認(rèn)證，服務(wù)器必須要信任客戶端證書，因此，必須把客戶端證書添加為服務(wù)器的信任認(rèn)證。由于不能直接將PKCS12格式的證書導(dǎo)入，我們必須先把客戶端證書導(dǎo)出為一個(gè)單獨(dú)的CER文件，使用如下命令：keytool -export -alias myKey -keystore C:my.p12 -store

4、type PKCS12 -storepass password -rfc -file C:my.cer通過以上命令，客戶端證書就被我們導(dǎo)出到“C:my.cer”文件了。下一步，是將該文件導(dǎo)入到服務(wù)器的證書庫，添加為一個(gè)信任證書：通過list命令查看服務(wù)器的證書庫，我們可以看到兩個(gè)輸入，一個(gè)是服務(wù)器證書，一個(gè)是手信任的客戶端證書：keytool -list -keystore C:jboss.keystore -storepass password第四步：配置Jboss服務(wù)器打開Jboss的server.xml，找到如下配置段，修改如下： <Connector port="844

5、3" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:/jboss.keystore" keystorePass="password" truststoreFile="C:/jboss.keystore" truststorePass="password" />其中，clientAuthor指定是否需要驗(yàn)證客戶端證書，如果該設(shè)置為“false”，則為單向SSL驗(yàn)證，SSL配置可到此結(jié)束。如果clientAuthor設(shè)置為“true”，則為雙向SSL驗(yàn)證，必須驗(yàn)證客戶端證書。即雙擊“C:my.p12”將證書導(dǎo)入瀏覽器。點(diǎn)擊“瀏覽”按鈕，在彈出的窗體中選擇受信任的跟證書頒發(fā)機(jī)構(gòu)，點(diǎn)擊“下一步”。單擊“完成”，在彈出的“安全警告”窗體中點(diǎn)擊“是”。彈出“導(dǎo)入成功”提示框。如果設(shè)置