1、第 1 页 共 33 页Apusic SSL 配置- OpenSSL 在 Apusic 上的配置过程 Comment y1: 这里可以提供一个不安全的应用例子第 2 页 共 33 页关键字:SSL Apusic Openssl keytool Apusic应用服务器完全支持 SSL协议最新版 SSL3.0和 TLS1.0协议。本文将详细讲述如何在 Apusic应用服务器上配置使用 SSL双向认证。1 Apusic应用服务器及 SSL/TSL简介Apusic 应用服务器是完全遵循 Java EE 规范的 Java 企业级应用服务器,是经受大量客户应用验证的应用支撑平台。 J2EE 是一个开放的描
2、述多层企业级应用开发的技术规范,由国际上权威的 Java 标准化组织 JCP 倡导制定, JCP 由众多国际知名厂商参与其中,最大程度保证了其一贯倡导的开放性。 Apusic 应用服务器是国内第一个自有知识产权并严格遵循和实现 J2EE 规范的应用服务器产品,为复杂应用提供了一个开发和运行平台,对于分布式的企业级应用,提供了易扩展、可伸缩和高安全性等特性。本文介绍了 Apusic 应用服务器的体系结构,然后分别介绍了 Apusic 提供的服务和功能,从而显示 Apusic 应用服务器对开发大型应用系统的支持能力。 Apusic 应用服务器目前已经通过 Java EE 的兼容性测试认证,能在第一
3、时间内完成 J2EE1.4 的测试和认证,不仅表明 Apusic 应用服务器对 J2EE 规范一贯和紧密的跟踪,也说明 Apusic 应用服务器在设计时就是高质量并高度兼容 J2EE 规范的产品。这些事实说明 Apusic 应用服务器已经达到世界级产品的要求。1.1 背景在网络上信息在源-宿的传递过程中会经过其它的计算机。一般情况下,中间的计算机不会监听路过的信息。但在使用比如网上银行或者进行信用卡交易的时候有可能被监视,从而导致个人隐私的泄露,如下图所示。由于 Internet和 Intranet体系结构的原因,总有某些人能够读取并替换用户发出的信息。随着网上支付的不断发展,人们对信息安全的
4、要求越来越高。1.2 SSL/TSL概述为了在不安全的网络上安全保密的传输关键信息,Netscape 公司开发了 SSL协议,后来 IETF(Internet Engineering Task Force)把它标准化了,并且取名为第 3 页 共 33 页TLS,目前 TLS 的版本为 1.0,TLS1.0 的完整版本请参考 rfc2246(www.ietf.org) 。旨在达到在开放网络(Internet)上安全保密地传输信息的目的,这种协议在 WEB 上获得了广泛的应用。 之后 IETF(www.ietf.org)对 SSL 作了标准化,即 RFC2246,并将其称为 TLS(Transpo
5、rt Layer Security) ,从技术上讲,TLS1.0 与 SSL3.0 的差别非常微小。 基于 SSL/TLS 协议的通信双方的应用数据是经过加密后传输的,应用数据的加密采用了对称密钥加密方式,通信双方通过 SSL/TLS 握手协议来获得对称密钥。为了不让攻击者偷听、篡改或者伪造消息通信的双方需要互相认证,来确认对方确实是他所声称的主体。SSL/TLS 握手协议通过互相发送证书来认证对方,一般来说只需要单向认证,即客户端能确认服务器便可。但是对于对安全性要求很高的应用往往需要双向认证,以获得更高的安全性。下面详细讲述建立自己的认证机构,并且利用它来颁发服务器证书和客户端个人证书,然
6、后配置服务器来使用双向认证。SSL 协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。不同于常用的 http 协议,我们在与网站建立 SSL 安全连接时使用 https 协议,即采用 https:/ip:port/的方式来访问。1.3 作用SSL 是允许对 HTTP 请求上的敏感数据加密的技术。握手、加密和解密过程由 Web 服务器处理。SSL 协议的作用IP 安全协议/SSL/SSH 内容: SSL(Secure Socket Layer 即安全套接层)协议是 Netscape Communication 公司推出在网络传输层
7、之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和 Web 服务器之间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL 协议支持了电子商务关于数据的安全性、完整性和身份认证的要求,但是它没有保证不可抵赖性的要求。 SSL 层要点:一、作用:验证最终安全的应用层通信内容。 (加密) 。二、端口:典型的运行在不同的上层应用的端口。 (不同服务需要配置不同端口+加密方法/压缩模式) 。三、验证:证书及其签名的确认。四、密钥:认证(必要时双认证)后,通过随机数据和密钥交换协议,双方获得密钥或种子,完成加密操作。 SSL 协议的主要用途是在两
8、个通信应用程序之间提供私密性和可靠性,这个过程通过3 个元素来完成:(1 )握手协议( 2)记录协议(3)警告协议 SSL 协议支持三种方式的认证:双方的相互认证,只认证服务端的认证和双方都不认证。 通过 SSL 协议的通信过程,SSL 协议利用非对称加密算法产生和交换密码;用对称加密算法对 数据进行加密传输。 注意:1、KI 协议是为产生密码和交换密码服务的体系,主要负责 CA 的管理。 2、TPS 是 SSL 协议应用于 HTTP 服务 第 4 页 共 33 页SSH 协议:解决 TELNET/FTP 协议安全性的工具,支持 SSH 和 SFTP。即就是Telent 和 FTP 的加密 传
9、输版本。SSH 具有 SSH1 和 SSH2 版本。 2、SSH 技术安全验证问题:基于口令和基于密钥验证的技术。 3、SSH 机遇密钥验证的过程(服务器验证过程) ,保证了口令不在网络中传输。 SSL:解决对应使用 HTTP 协议的服务安全性问题。位于传输层和应用层之间,可以提供数据加密传输(不含签名) 。原理:通过 SSL 握手交流信息,通过验证,获得密钥,对数据进行加密(属于 IP 数据包的数据部分) SSH:解决对应使用 FTP/TELNET 协议的服务安全性问题。位于传输层和应用层之间,可以提供数据加密传输,可以签名。涉及技术:CA、PKI。原理:通过 SSH 握手交流信息(C/S
10、访问模式) ,通过验证,获得密钥,对传输(交流)数据进行加密(属于 IP 数据包的数据部分) ,也可看为在系统间建立了加密传输通道。1.4 原理当我们与一个网站建立 https 连接时,我们的浏览器与 Web Server 之间要经过一个握手的过程来完成身份鉴定与密钥交换,从而建立安全连接。具体过程如下: 用户浏览器将其 SSL 版本号、加密设置参数、与 session 有关的数据以及其它一些必要信息发送到服务器。 服务器将其 SSL 版本号、加密设置参数、与 session 有关的数据以及其它一些必要信息发送给浏览器,同时发给浏览器的还有服务器的证书。如果配置服务器的 SSL 需要验证用户身
11、份,还要发出请求要求浏览器提供用户证书。 客户端检查服务器证书,如果检查失败,提示不能建立 SSL 连接。如果成功,那么继续。 客户端浏览器为本次会话生成 pre-master secret,并将其用服务器公钥加密后发送给服务器。 如果服务器要求鉴别客户身份,客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。 如果服务器要求鉴别客户身份,则检查签署客户证书的 CA 是否可信。如果不在信任列表中,结束本次会话。如果检查通过,服务器用自己的私钥解密收到的 pre-master secret,并用它通过某些算法生成本次会话的 master secret。 客户端与服务器均使用此 m
12、aster secret 生成本次会话的会话密钥( 对称密钥)。在双方 SSL 握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上,能够显著提高双方会话时的运算速度。 客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次 SSL 握手。 服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次 SSL 握手。 本次握手过程结束,会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。第 5 页 共 33 页2 环境准备2.1 所需软件包 Apusic 4.0
13、.2下载: http:/ JDK 1.4.2用途:用来产生 Apusic 使用的秘钥对(keystore)。下载: http:/ Openssl 0.9.9.6用途:用来产生 CA 证书、签名并生成 IE 可导入的 PKCS#12 格式私钥。下载:http:/www.openssl.org/本章主要针对湖北省电子政务一期工程应用支撑软件招标文件中软件要求的内容,根据金蝶 Apusic4.0 的具体真实情况做出响应。3 配置步骤3.1 建立认证授权机构 CA 用户可以向可信的第三方认证机构(CA)申请证书,也可以自己做 CA,由自己来颁发证书,在本文中将讲述如何自己做证书颁发机构。本文所使用的
14、CA 软件为Openssl。Openssl 用来产生 CA 证书、证书签名并生成浏览器可导入的 PKCS#12 格式个人证书。你可以在 Openssl 的官方网站 http:/www.openssl.org 下载最新版的Openssl。下面开始介绍建立认证授权机构 CA 和创建 CA 根证书:1) 下载并安装 OpenSSL,配置两个环境变量,其中前者在安装过程中实现:OPENSSL_CONF:c:OpenSSLfPATH: C:OpenSSLbin2) 在指定的目录下建立自己的 CA 目录,例如:C:OpenSSLCAC:OpenSSLmkdir CA3) 登录到 OpenSSL 环境:C:
15、OpenSSLCAopensslOpenSSL4) 生成数字签名算法 DSA 参数第 6 页 共 33 页格式:dsaparam -out 数字签名算法 DSA 参数输出路径 密钥位数例如:dsaparam -out C:/OpenSSL/ca/dsa_param 1024或者直接在命令环境执行:C:OpenSSLCAopenssl dsaparam -out C:/OpenSSL/ca/dsa_param 10245) 根据参数生成 DSA 私钥格式:genrsa out 密钥文件输出路径 数字签名算法 DSA 参数例如:gendsa -out dsa_key dsa_param第 7 页
16、共 33 页或者直接在命令环境执行:C:OpenSSLCAopenssl gendsa -out C:/OpenSSL/ca/dsa_key C:/OpenSSL/ca/dsa_param6)X509 证书待签名请求生成待签名的证书。格式:req -new -out 证书文件输出路径 -key 私钥文件路径例如:req -new -out C:/OpenSSL/ca/ca_req.csr -key C:/OpenSSL/ca/dsa_key或者直接在命令环境执行:C:openssl req -new -out C:/OpenSSL/ca/ca_req.csr -key C:/OpenSSL/c
17、a/dsa_key7) 创建 X509 自签名根证书第 8 页 共 33 页用 CA 私钥自签名。注 将自动生成的 ca-key.srl 文件拷贝到创建的 CA 目录下. 。格式:x509 -req -in 输入待签发证书文件路径 -out 产生 x509 证书文件输出路径 -signkey 自签发密钥文件路径 -days 证书有效期 -CA 签发跟证书 -Cakey根证书密钥文件 -Cacreateserial创建序列号例如:x509 -req -in ca_req.csr -out ca_cert.cer -signkey dsa_key或者直接在命令环境执行:C:OpenSSLCAope
18、nssl x509 -req -in C:/OpenSSL/ca/ca_req.csr -out C:/OpenSSL/ca/ca_cert.cer -signkey C:/OpenSSL/ca/dsa_key -days 3653.2 生成服务器端证书服务器端证书用来向客户端证明服务器的身份,也就是说在 SSL 协议握手的时候,服务器发给客户端的证书。生成服务器证书时用到了 JDK 的密钥管理工具 Keytool,本文采用的 jdk 是 sun j2dk1.4.2。可以在 Sun 公司的网站 http:/ 下载j2sdk1.4.2。注 在本文中用符号 “%JDK_HOME%“来表示 JDK
19、的安装位置,用符号“%APUSIC_HOME%“ 表示 Apusic 的安装位置。3.2.1 建立服务器证书1) 建立工作目录在%JDK_HOME% 的 bin 目录下建立自己的 server 目录,例如:servermkdir server2) 创建服务器私钥生成 server 密钥对。格式:%JDK_HOME%/bin/keytool -genkey -alias 密钥对别名 -validity 密钥有效期-keyalg密钥算法参数-keysize密钥位数-keypass密钥保护密码-storepass存储密码-dname别名相关附加信息 -keystore密钥存储文件路径例如:C: ke
20、ytool -genkey -alias apusic_server -keyalg RSA -keysize 1024 -keypass 12345678 -storepass 12345678 -dname “cn=localhost,ou=support,o=apusic,l=shenzhen,st=guangdong, c=CN“ -keystore C:/OpenSSL/server/my_key_store第 9 页 共 33 页C:opensslserverdir驱动器 D 中的卷是 新加卷卷的序列号是 18FC-D2C1C:apusicapusic-4.0.2_jrebinse
21、rver 的目录2006-04-19 10:08 .2006-04-19 10:08 2006-04-19 10:08 1,368 my_key_store1 个文件 1,368 字节2 个目录 1,772,150,784 可用字节C:apusicapusic-4.0.2_jrebinserver注 -alias 后的 apusic_server 是密钥对的名字可替换为自己需要的名字;-keypass 与-storepass 后的 changeit 为保护密码必须 6 位,将其替换为你的密码即可;-dname 为包含的 server 信息。其中 cn 是服务器的名字一定要与 WEB 服务器中设
22、置的一样。3) 生成服务器证书请求生成待签名证书。格式:%JDK_HOME%/bin/keytool -certreq -alias证书别名 -sigalg证书算法参数 -file 产生文件输出路径 -keypass密钥保护密码 -keystore存储文件路径 -storepass存储密码例如:keytool -certreq -alias apusic_server -sigalg SHA1withRSA -file C:/OpenSSL/server/my_server.csr -keypass 12345678 -keystore C:/OpenSSL/server/my_key_sto
23、re -storepass 123456784) 用 CA 私钥签名发布服务器证书。格式:openssl x509 -req -in server/server.csr -out server/server-cert.pem -CA mageCA/ca-cert.pem -CAkey mageCA/ca-key.pem -days 365openssl x509 -req -in C:/OpenSSL/server/my_server.csr -out C:/OpenSSL/server/my_server-cert.cer -CA C:/OpenSSL/CA/ca_cert.cer -CAk
24、ey C:/OpenSSL/CA/dsa_key -days 365 -set_serial 02Loading screen into random state - doneSignature ok第 10 页 共 33 页subject=/C=CN/ST=guangdong/L=shenzhen/O=apusic/OU=support/CN=192.168.5.109Getting CA Private Key注 先将生成的 my_server.csr 文件 ftp 到 linux 上 openssl 的目录下的server 子目录中,ftp 的传输模式应设为 bin 模式,以下同。3.2
25、.2 将 CA 根证书和服务器证书导入 Apusic1) 导入 CA 根证书将根证书导入 keystore。将 CA 根证书(ca_cert.cer)ftp 到 Java 工作目录下的 ca 子目录中格式:-import -v -trustcacerts -storepass存储密码 -alias证书别名 -file证书文件路径 -keystore导入文件路径 例如:keytool -import -alias my_ca_root -file C:/OpenSSL/CA/ca_cert.cer -noprompt -keypass 12345678 -storepass 12345678 -
26、keystore C:/OpenSSL/server/my_key_store注 此处的-storepass 为默认的 “changeit”。-alias 为 CA 根证书的别名。2) 导入服务器证书格式:%JDK_HOME%/bin/keytool -import -v -trustcacerts -storepass changeit -alias apusic_server -file server/server-cert.pem -keystore server/server_keystorekeytool -import -alias apusic_server -file C:/O
27、penSSL/server/my_server-cert.cer -noprompt -keypass 12345678 -storepass 12345678 -keystore C:/OpenSSL/server/my_key_store注 此时的 -storepass 为生成证书时输入密码。-alias 为服务器证书的别名。3) 查看证书查看 CA 证书keytool -list -keystore %JDK_HOME%/jre/lib/security/cacertskeytool -list -keystore C:/OpenSSL/server/my_key_store或者keyt
28、ool -list -keystore C:/OpenSSL/server/my_key_store -v -storepass 123456784) 把 CA 根证书导入信任库 truststore:keytool -import -alias caroot -file caca-cert.cer -noprompt -keypass keypass -storepass keypass -keystore truststorekeytool -list -keystore struststore -v -storepass keypass第 11 页 共 33 页3.3 颁发并发布个人证书
29、个人证书用来向服务器证明个人的身份,也就是说在 SSL 协议握手的时候,客户端发给服务器端的证书。同时个人证书中包含个人信息如用户名等,如果需要这个用户名将作为登录服务器的用户名。 建立 Client 证书1) openssl 的 apps 目录下建立自己的 Client 目录,例如:client2) 生成 Client 密钥对创建 RSA 参数。格式:openssl genrsa -out client/my_client_key -key.pem 1024例如:openssl genrsa -out C:/OpenSSL/client/my_client_key 10243) 生成待签名的
30、证书根据参数生成 RSA 私钥格式:openssl req -new -out client/client-req.csr -key client/ client-key.pem例如:openssl req -new -out C:/OpenSSL/client/my_client_req.csr -key C:/OpenSSL/client/my_client_key第 12 页 共 33 页4) 用 CA 私钥签名发布客户端证书格式:openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signke
31、y c lient/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365例如:openssl x509 -req -in my_client_req.csr -out my_client.cer -CA C:/OpenSSL/CA/ca_cert.cer -CAkey C:/OpenSSL/CA/dsa_key -days 365 -set_serial 02C:OpenSSLCLIENTopenssl x509 -req -in C:/OpenSSL/client/my_client_
32、req.csr -out C:/OpenSSL/client/my_client.cer -CA C:/OpenSSL/CA/ca_cert.cer -CAkey C:/OpenSSL/CA/dsa_key -days 365 -set_serial 02Loading screen into random state - doneSignature oksubject=/C=CN/ST=guangdogn/L=shenzhen/O=apusic/OU=support/CN=qiuyilai/emailAddress=Getting CA Private Key第 13 页 共 33 页5)
33、生成 Client 端可以导入的个人证书生成 PKCS#12 格式证书。格式:openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12pkcs12生成 PKS12 格式证书命令-export导出文件 -clerts仅导出 client证书-in 输入的 client 证书文件路径-inkeyclient 证书密钥文件路径-out导出 PKS12 格式文件路径 例如:openssl pkcs12 -export -clcerts -i
34、n my_client.cer -inkey my_client_key -out my_client.p12C:OpenSSLCLIENTopenssl pkcs12 -export -clcerts -in C:/OpenSSL/client/my_client.cer -inkey C:/OpenSSL/client/my_client_key -out C:/OpenSSL/client/my_client.p12Loading screen into random state - doneEnter Export Password:Verifying - Enter Export P
35、assword:C:OpenSSLCLIENTdir驱动器 D 中的卷是 新加卷卷的序列号是 18FC-D2C1C:OpenSSLCLIENT 的目录2006-04-19 14:08 .2006-04-19 14:08 2006-04-19 14:03 814 my_client.cer2006-04-19 14:08 1,581 my_client.p122006-04-19 13:54 887 my_client_key2006-04-19 13:57 769 my_client_req.csr4 个文件 4,051 字节2 个目录 1,573,318,656 可用字节3.4 修改 Apu
36、sic 的配置文件Apusic 应用服务器默认情况下不支持双向认证,要支持 SSL 双向认证,需要作如下配置:配置服务器端密钥库和信任库。将 keystore(这里是:server/my_key_store) 和 truststore(这里是:security/cacerts_my_key_store)拷贝到 APUSIC_HOME/config 目录下。第 14 页 共 33 页然后修改 APUSIC_HOME/config/apusic.conf 的 Muxer 部分内容,如:具体配置属性概述如下:属性 描述 值类型 缺省值Port 多路复用端口号;HTTP、JNDI 、JMS服务注 06
37、5535 间未被占用的端口号 6888Backlog 对于未处理的连接请求,可保持在此端口的输入队列中的最大数量 整型 50Timeout 连接请求的等待时间 整型,单位为秒 300MaxWaitingClients表示当服务器过忙而无法及时响应请求时对请求排队的队列长度(针对 SSL 服务的配置,正常情况下不需要)整型 500WaitingClientTimeout表示当队列已满时经过多长时间将请求抛弃(针对 SSL 服务的配置,正常情况下不需要)整型,单位为秒 5SSLEnabled 是否启用 SSL 通讯。 “True”或 “False” TrueSecurePort SSL 通讯所使用
38、的端口 065535 间未被占用的端口号 6889KeyStore 保存服务器密钥和证书的密钥库文件 密钥库文件相对于 Apusic安装目录的路径和文件名 config/sslserverKeyPassword KeyStore 密钥库的管理密码和密钥密码 管理密码和密钥密码必须相同 keypass第 15 页 共 33 页启动 Apusic,启动信息类似如下内容:2006-07-17 16:40:39 信息 apusic.service.ThreadPool.default 成功启动2006-07-17 16:40:39 信息 apusic.service.ThreadPool.MuxHan
39、dler 成功启动2006-07-17 16:40:39 信息 apusic.service.ThreadPool.HTTPHandler 成功启动2006-07-17 16:40:39 信息 apusic.service.ThreadPool.JMSHandler 成功启动2006-07-17 16:40:39 信息 apusic.service.ThreadPool.ORBWorker 成功启动2006-07-17 16:40:39 信息 apusic.service.Muxer 侦听端口 68882006-07-17 16:40:39 信息 apusic.service.Muxer 侦听
40、端口 68892006-07-17 16:40:39 信息 apusic.service.Muxer 侦听端口 4432006-07-17 16:40:39 信息 apusic.service.Muxer 成功启动2006-07-17 16:40:39 信息 apusic.service.ORB 成功启动2006-07-17 16:40:39 信息 apusic.service.Naming 成功启动2006-07-17 16:40:39 信息 apusic.service.Transaction 成功启动2006-07-17 16:40:39 信息 apusic.service.Securi
41、ty 成功启动2006-07-17 16:40:39 信息 apusic.JDBC.register 成功启动2006-07-17 16:40:39 信息 apusic.service.JDBC 成功启动2006-07-17 16:40:39 信息 apusic.service.JCA 成功启动2006-07-17 16:40:39 信息 apusic.service.EJB 成功启动2006-07-17 16:40:39 信息 apusic.service.EJBTimer 成功启动2006-07-17 16:40:40 信息 apusic.service.MUXEndpoint 成功启动2
42、006-07-17 16:40:40 信息 apusic.service.ACPEndpoint 成功启动2006-07-17 16:40:40 信息 apusic.service.AJPEndpoint 侦听端口 80092006-07-17 16:40:40 信息 apusic.service.AJPEndpoint 成功启动2006-07-17 16:40:40 信息 apusic.service.HttpSessionStore 成功启动2006-07-17 16:40:40 信息 apusic.service.Web 成功启动2006-07-17 16:40:40 信息 apusic
43、.service.HttpSession 成功启动2006-07-17 16:40:40 信息 apusic.service.JMSMessageStoreProvider 成功启动2006-07-17 16:40:40 信息 apusic.service.JMS 成功启动2006-07-17 16:40:40 信息 apusic.JMS.JMSQueue.SYSTEM.DEAD_LETTER 成功启动2006-07-17 16:40:40 信息 apusic.JMS.JMSQueue.testQueue 成功启动2006-07-17 16:40:40 信息 apusic.JMS.JMSTop
44、ic.testTopic 成功启动2006-07-17 16:40:40 信息 apusic.JMS.ConnectionFactory.ConnectionFactory 成功启动2006-07-17 16:40:40 信息 apusic.service.JMSRegistry 成功启动2006-07-17 16:40:40 信息 apusic.service.WSServer 成功启动2006-07-17 16:40:40 信息 apusic.ejb.mejb.jar.MEJB EJB home ejb/mgmt/MEJB 已注册。2006-07-17 16:40:41 信息 apusic
45、.application.mejb.jar 成功启动2006-07-17 16:40:42 信息 apusic.application.webtool.ear 成功启动2006-07-17 16:40:42 信息 apusic.application.public_html 成功启动第 16 页 共 33 页2006-07-17 16:40:42 信息 apusic.application.web 成功启动2006-07-17 16:40:42 信息 apusic.service.J2EEDeployer 成功启动2006-07-17 16:40:42 信息 apusic.service.RM
46、IConnector 成功启动2006-07-17 16:40:42 信息 apusic.service.admin 成功启动2006-07-17 16:40:42 信息 apusic.server.Main 服务器就绪。3.5 配置 IE 客户端在这里 CA 的根证书用来在 SSL 握手时验证服务器发给客户端浏览器的证书。如果没有此证书,浏览器将无法自动验证服务器证书,因此浏览器将弹出确认信息,让用户来确认是否信任服务器证书。将 CA 证书与 client 证书导入 IE1. 导入 CA 根证书将已经 ftp 到 Java 工作目录下 ca 子目录中的 ca-cert.pem 改名为 ca-
47、cert.cer;在 client 端的 IE 中使用, 把我们生成的 CA 根证书导入,使其成为 用户信任的 CA。2. 导入 client 证书将 client 证书(client.p12)ftp 到 Client 端,把 client.p12 导入到client 端的 IE 中作为 client 证书,导入过程同上3.6 用 IE 浏览器使用 SSL 协议访问 Apusic1. 执行 %APUSIC_HOME%/bin/startapuswicd 启动 Apusic;2. 在 IE 浏览器的地址栏中输入 https:/localhost:6889,如果前面的操作都正确,应该可以看到 Ap
48、usic 的欢迎页面。同时状态栏上的小锁处于闭合状态,且证书为有效状态,表示您已经成功地与服务器建立了要求客户端验证的 SSL 安全连接。第 17 页 共 33 页4 配置全过程以下段落内容和上一部分是重复内容。注 “%APUSIC_OPENSSL_HOME%“ 表示 Apusic 有关 SSL 文件位置。4.1 建立 CA 认证授权机构#cd %APUSIC_OPENSSL_HOME%*进入 SSL 工作目录#mkdir ca #cd ca *建立 CA 工作目录#openssl dsaparam -out dsaparam 1024 #openssl gendsa -out dsakey dsaparam*生成 ca 私钥#openssl req -new -out ca-req.csr -key dsakey *生成 ca 待签名证书#openssl x509 -req -in ca-req.csr -out ca-cert.cer -signkey dsakey -days 365*用 CA 私钥进行自签名,得到自签名的 CA 根证书
