如何使用JDK自帶的工具創建密匙庫和信任庫
WebService 是基於SOAP協議傳輸的,SOAP是以XML文件形式進行信息傳輸,是明文,這是不安全的,所以我們可以在WebService加上SSL/HTTPS協議來進行數據傳輸
基於Axis的WebService可以很好的實現,在這裏我們使用tomcat服務器
使用JDK自帶的工具創建密匙庫和信任庫。
1)通過使用以下的命令來創建服務器端的密匙庫:
keytool -genkey -alias Server -keystore server.keystore -keyalg RSA
輸入keystore密碼: strongit
您的名字與姓氏是什麼?
[Unknown]: Server
您的組織單位名稱是什麼?
[Unknown]: ec
您的組織名稱是什麼?
[Unknown]: ec
您所在的城市或區域名稱是什麼?
[Unknown]: nanchang
您所在的州或省份名稱是什麼?
[Unknown]: jiangxi
該單位的兩字母國家代碼是什麼
[Unknown]: CN
CN=Server, OU=ec, O=ec, L=beijing, ST=beijing, C=CN 正確嗎?
[否]: y
輸入<Server>的主密碼
(如果和 keystore 密碼相同,按回車):
以上命令執行完成後,將獲得一個名爲server.keystore的密匙庫。
2)生成客戶端的信任庫。首先輸出RSA證書:
keytool -export -alias Server -file test_axis.cer -storepass strongit-keystore server.keystore
然後把RSA證書輸入到一個新的信任庫文件中。這個信任庫被客戶端使用,被用來驗證服務器端的身份。
keytool -import -file test_axis.cer -storepass changeit -keystore client.truststore -alias serverkey -noprompt
以上命令執行完成後,將獲得一個名爲client.truststore的信任庫。
3)同理生成客戶端的密匙庫client.keystore和服務器端的信任庫server.truststore.方便起見給出.bat文件
gen-cer-store.bat內容如下:
set SERVER_DN="CN=Server, OU=ec, O=ec, L=nanchang, S=jiangxi, C=CN"
set CLIENT_DN="CN=Client, OU=ec, O=ec, L=nanchang, S=jiangxi, C=CN"
set KS_PASS=-storepass strongit
set KEYINFO=-keyalg RSA
keytool -genkey -alias Server -dname %SERVER_DN% %KS_PASS% -keystore server.keystore %KEYINFO% -keypass strongit
keytool -export -alias Server -file test_axis.cer %KS_PASS% -keystore server.keystore
keytool -import -file test_axis.cer %KS_PASS% -keystore client.truststore -alias serverkey -noprompt
keytool -genkey -alias Client -dname %CLIENT_DN% %KS_PASS% -keystore client.keystore %KEYINFO% -keypass strongit
keytool -export -alias Client -file test_axis.cer %KS_PASS% -keystore client.keystore
keytool -import -file test_axis.cer %KS_PASS% -keystore server.truststore -alias clientkey -noprompt
好的,現在我們就有了四個文件:server.keystore,server.truststore,client.keystore,client.truststore
更改Tomcat的配置文件(server.xml),增加以下部署描述符:(其實裏面有,只是被註釋掉了)
<Connector port="8440"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true" keystoreFile="f:\server.keystore" keystorePass="changeit"
truststoreFile="f:\server.truststore" truststorePass="changeit"
sslProtocol="TLS" />