ApusicSSL配置V22Word文档格式.docx

1、SSL/TLS握手协议通过互相发送证书来认证对方，一般来说只需要单向认证，即客户端能确认服务器便可。但是对于对安全性要求很高的应用往往需要双向认证，以获得更高的安全性。下面详细讲述建立自己的认证机构，并且利用它来颁发服务器证书和客户端个人证书，然后配置服务器来使用双向认证。SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https:/ip:port/的方式来访问。作用SSL 是允许对 HTTP 请求上的敏感数据加密的技术。握手、加密和解密

2、过程由 Web 服务器处理。SSL协议的作用IP安全协议/SSL/SSH内容：SSL（Secure Socket Layer即安全套接层）协议是Netscape Communication公司推出在网络传输层之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和Web服务器之间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL协议支持了电子商务关于数据的安全性、完整性和身份认证的要求，但是它没有保证不可抵赖性的要求。SSL层要点：一、作用：验证最终安全的应用层通信内容。（加密）。二、端口：典型的运行在不同的上层应用的端口。（不同服务需要配

3、置不同端口+加密方法/压缩模式）。三、验证：证书及其签名的确认。四、密钥：认证（必要时双认证）后，通过随机数据和密钥交换协议，双方获得密钥或种子，完成加密操作。SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：（1）握手协议（2）记录协议（3）警告协议 SSL协议支持三种方式的认证：双方的相互认证，只认证服务端的认证和双方都不认证。通过SSL协议的通信过程，SSL协议利用非对称加密算法产生和交换密码；用对称加密算法对 数据进行加密传输。注意：1、KI协议是为产生密码和交换密码服务的体系，主要负责CA的管理。2、TPS是SSL协议应用于HTTP服务 SS

4、H协议：解决TELNET/FTP协议安全性的工具，支持SSH和SFTP。即就是Telent和FTP的加密 传输版本。SSH具有SSH1和SSH2版本。2、SSH技术安全验证问题：基于口令和基于密钥验证的技术。3、SSH机遇密钥验证的过程（服务器验证过程），保证了口令不在网络中传输。SSL：解决对应使用HTTP协议的服务安全性问题。位于传输层和应用层之间，可以提供数据加密传输（不含签名）。原理：通过SSL握手交流信息，通过验证，获得密钥，对数据进行加密（属于IP数据包的数据部分） SSH：解决对应使用FTP/TELNET协议的服务安全性问题。位于传输层和应用层之间，可以提供数据加密传输，可以签名

5、。涉及技术：CA、PKI。通过SSH握手交流信息（C/S访问模式），通过验证，获得密钥，对传输（交流）数据进行加密（属于IP数据包的数据部分），也可看为在系统间建立了加密传输通道。原理当我们与一个网站建立https连接时，我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下：用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验

6、证用户身份，还要发出请求要求浏览器提供用户证书。客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。客户端浏览器为本次会话生成pre-master secret，并将其用服务器公钥加密后发送给服务器。如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-master secret，并用它通过某些算法生成本次会话的master secret。客户端与服务器均使用此master sec

7、ret生成本次会话的会话密钥（对称密钥）。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。本次握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。2环境准备所需软件包Apusic 4.0.2下载： JDK 1.4.2用途：用来产生Apusic使用的秘钥对（key

8、store）。Openssl 0.9.9.6用来产生CA证书、签名并生成IE可导入的PKCS#12格式私钥。http:/www.openssl.org/本章主要针对湖北省电子政务一期工程应用支撑软件招标文件中软件要求的内容，根据金蝶Apusic4.0的具体真实情况做出响应。3配置步骤建立认证授权机构CA 用户可以向可信的第三方认证机构（CA）申请证书，也可以自己做CA，由自己来颁发证书，在本文中将讲述如何自己做证书颁发机构。本文所使用的CA软件为Openssl。Openssl用来产生CA证书、证书签名并生成浏览器可导入的PKCS#12格式个人证书。你可以在Openssl的官方网站http:/w

9、ww.openssl.org下载最新版的Openssl。下面开始介绍建立认证授权机构CA和创建CA根证书：1）下载并安装OpenSSL，配置两个环境变量，其中前者在安装过程中实现：OPENSSL_CONF：c:OpenSSLbinfPATH：C:OpenSSLbin2）在指定的目录下建立自己的CA目录，例如：OpenSSLCAOpenSSLmkdir CA3）登录到OpenSSL环境：OpenSSLCAopensslOpenSSL4）生成数字签名算法DSA参数格式：dsaparam -out 数字签名算法DSA参数输出路径 密钥位数例如：dsaparam -out C:/OpenSSL/ca/

10、dsa_param 1024或者直接在命令环境执行：openssl dsaparam -out C:5）根据参数生成DSA私钥genrsa out 密钥文件输出路径 数字签名算法DSA参数gendsa -out dsa_key dsa_paramopenssl gendsa -out C:/OpenSSL/ca/dsa_key C:/OpenSSL/ca/dsa_param6）X509证书待签名请求生成待签名的证书。req -new -out 证书文件输出路径 -key 私钥文件路径req -new -out C:/OpenSSL/ca/ca_req.csr -key C:/OpenSSL/c

11、a/dsa_keyopenssl req -new -out C:7）创建X509自签名根证书用CA私钥自签名。注 将自动生成的ca-key.srl文件拷贝到创建的CA目录下.。x509 -req -in 输入待签发证书文件路径 -out 产生x509证书文件输出路径 -signkey 自签发密钥文件路径 -days 证书有效期 -CA 签发跟证书 -Cakey根证书密钥文件 -Cacreateserial创建序列号x509 -req -in ca_req.csr -out ca_cert.cer -signkey dsa_keyopenssl x509 -req -in C:/OpenSSL

12、/ca/ca_req.csr -out C:/OpenSSL/ca/ca_cert.cer -signkey C:/OpenSSL/ca/dsa_key -days 365生成服务器端证书服务器端证书用来向客户端证明服务器的身份，也就是说在SSL协议握手的时候，服务器发给客户端的证书。生成服务器证书时用到了JDK的密钥管理工具Keytool，本文采用的jdk是sun j2dk1.4.2。可以在Sun公司的网站下载j2sdk1.4.2。注 在本文中用符号%JDK_HOME%来表示JDK的安装位置，用符号%APUSIC_HOME% 表示Apusic的安装位置。3.1.1建立服务器证书1）建立工作目

13、录在%JDK_HOME%的bin目录下建立自己的server目录，例如：servermkdir server2）创建服务器私钥生成server密钥对。%JDK_HOME%/bin/keytool -genkey -alias 密钥对别名 -validity 密钥有效期-keyalg密钥算法参数-keysize密钥位数-keypass密钥保护密码-storepass存储密码-dname别名相关附加信息-keystore密钥存储文件路径 keytool -genkey -alias apusic_server -keyalg RSA -keysize 1024 -keypass 12345678

14、-storepass 12345678 -dname cn=localhost,ou=support,o=apusic,l=shenzhen,st=guangdong, c=CN -keystore C:/OpenSSL/server/my_key_storeopensslserverdir 驱动器 D 中的卷是 新加卷 卷的序列号是 18FC-D2C1 C:apusicapusic-4.0.2_jrebinserver 的目录2006-04-19 10:08 . .08 1,368 my_key_store 1 个文件 1,368 字节 2 个目录 1,772,150,784 可用字节apu

15、sicapusic-4.0.2_jrebinserver注 -alias后的apusic_server是密钥对的名字可替换为自己需要的名字；-keypass与-storepass后的changeit为保护密码必须6位，将其替换为你的密码即可；-dname为包含的server信息。其中cn是服务器的名字一定要与WEB服务器中设置的一样。3）生成服务器证书请求生成待签名证书。%JDK_HOME%/bin/keytool -certreq -alias证书别名 -sigalg证书算法参数 -file 产生文件输出路径 -keypass密钥保护密码 -keystore存储文件路径 -storepass

16、存储密码keytool -certreq -alias apusic_server -sigalg SHA1withRSA -file C:/OpenSSL/server/my_server.csr -keypass 12345678 -keystore C:/OpenSSL/server/my_key_store -storepass 123456784）用CA私钥签名发布服务器证书。openssl x509 -req -in server/server.csr -out server/server-cert.pem -CA mageCA/ca-cert.pem -CAkey mageCA/

17、ca-key.pem -days 365/OpenSSL/server/my_server.csr -out C:/OpenSSL/server/my_server-cert.cer -CA C:/OpenSSL/CA/ca_cert.cer -CAkey C:/OpenSSL/CA/dsa_key -days 365 -set_serial 02Loading screen into random state - doneSignature oksubject=/C=CN/ST=guangdong/L=shenzhen/O=apusic/OU=support/CN=192.168.5.109

18、Getting CA Private Key 注 先将生成的my_server.csr文件ftp到linux上openssl的目录下的server子目录中，ftp的传输模式应设为bin模式，以下同。3.1.2将CA根证书和服务器证书导入Apusic1）导入CA根证书将根证书导入keystore。将CA根证书（ca_cert.cer）ftp到Java工作目录下的ca子目录中-import -v -trustcacerts -storepass存储密码 -alias证书别名 -file证书文件路径 -keystore导入文件路径keytool -import -alias my_ca_root -

19、file C:/OpenSSL/CA/ca_cert.cer -noprompt -keypass 12345678 -storepass 12345678 -keystore C: 注 此处的-storepass为默认的“changeit”。-alias为CA根证书的别名。2）导入服务器证书%JDK_HOME%/bin/keytool -import -v -trustcacerts -storepass changeit -alias apusic_server -file server/server-cert.pem -keystore server/server_keystorekey

20、tool -import -alias apusic_server -file C:/OpenSSL/server/my_server-cert.cer -noprompt -keypass 12345678 -storepass 12345678 -keystore C:注 此时的-storepass为生成证书时输入密码。-alias为服务器证书的别名。3）查看证书查看CA证书keytool -list -keystore %JDK_HOME%/jre/lib/security/cacertskeytool -list -keystore C:或者/OpenSSL/server/my_key

21、_store -v -storepass 123456784）把CA根证书导入信任库truststore：keytool -import -alias caroot -file .caca-cert.cer -noprompt -keypass keypass -storepass keypass -keystore truststorekeytool -list -keystore truststore -v -storepass keypass颁发并发布个人证书个人证书用来向服务器证明个人的身份，也就是说在SSL协议握手的时候，客户端发给服务器端的证书。同时个人证书中包含个人信息如用户名等

22、，如果需要这个用户名将作为登录服务器的用户名。建立Client证书1）openssl的apps目录下建立自己的Client目录，例如：client2）生成Client密钥对创建RSA参数。openssl genrsa -out client/my_client_key -key.pem 1024openssl genrsa -out C:/OpenSSL/client/my_client_key 10243）生成待签名的证书根据参数生成RSA私钥openssl req -new -out client/client-req.csr -key client/ client-key.pem/Ope

23、nSSL/client/my_client_req.csr -key C:/OpenSSL/client/my_client_key发布客户端证书openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey c lient/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365openssl x509 -req -in my_client_req.csr -out my_client.cer

24、 -CA C:OpenSSLCLIENT/OpenSSL/client/my_client_req.csr -out C:/OpenSSL/client/my_client.cer -CA C:subject=/C=CN/ST=guangdogn/L=shenzhen/O=apusic/OU=support/CN=qiuyilai/emailAddress=qiuyilai5）生成Client端可以导入的个人证书生成PKCS#12格式证书。openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12pkcs12生成PKS12格式证书命令-export导出文件-clerts仅导出client证书-in输入的client证书文件路径-inkeyclient证书密钥文件路径-out导出PKS12格式文件路径openssl