https双向认证訪问管理后台,採用USBKEY进行系统訪问的身份鉴别,KEY的证书长度大于128位,使用USBKEY登录...
近期项目需求,须要实现用USBKEY识别用户登录,採用https双向认证訪问管理后台管理界面,期间碰到过一些小问题,写出来给大家參考下。
1:前期准备工作
USBKEY 硬件:我买的是飞天诚信 epass1000ND
若干个(一个USBKEY绑定一个用户。等同于我们的银行U盾识别一样)
USBKEY开发资料:CDROM_CN\PKI,找到该开发文件夹(跟厂家买硬件时一并给的开发包)
里面包括的文件例如以下
======================================================
文件夹 & 说明
Include: 包括了ePass1000ND PKI接口开发以及演示样例程序中用到的头文件;
Lib : 包括了ePass1000ND PKI接口开发以及演示样例程序中用到的库文件;
Redist : 可由分发商再次分发的文件;
Samples : 演示样例程序;
Utilities:工具集。
======================================================
出厂设置
出厂设置SOPIN:rockey
出厂设置USERPIN:1234
出厂设置SOPIN和USERPIN连续输错重试次数:15
中间件安装程序:PKI\Redist\cn\eps1knd_Chinese Simplified_std.exe
管理工具:PKI\Utilities\ePassNgMgr.exe
终于用户管理工具:PKI\redist\ePassNgMgr_EndUser.exe
初始化工具:PKI\Utilities\PKIINIT\PKIInit_M32.exe
PKI\Utilities\PKIINIT\PKIInit_M8.exe
2:生成相关证书
因为是https双向认证登录。所以我们生成对应的服务端客户端证书
server系统:windows8
程序 》開始》运行》cmd进入命令行
我这里举例生成一个server证书 tomcat ,5个客户端证书,相当5个用户:admin,admin01,admin02,admin03,admin04
命令行,依次运行例如以下命令生成证书
一、为server生成证书
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -validity 36500
二、为客户端生成证书
1、生成客户端证书
keytool -genkey -v -alias admin -keyalg RSA -storetype PKCS12 -keystore D:\client.key.p12
keytool -genkey -v -alias admin01 -keyalg RSA -storetype PKCS12 -keystore D:\client01.key.p12
keytool -genkey -v -alias admin02 -keyalg RSA -storetype PKCS12 -keystore D:\client02.key.p12
keytool -genkey -v -alias admin03 -keyalg RSA -storetype PKCS12 -keystore D:\client03.key.p12
keytool -genkey -v -alias admin04 -keyalg RSA -storetype PKCS12 -keystore D:\client04.key.p12
2、安装客户端证书
双击客户端证书“client.key.p12”完毕导入证书步骤例如以下:
三、让server信任客户端证书
1、将客户端证书导出为CER文件
keytool -export -alias admin -keystore D:\client.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client.key.cer
keytool -export -alias admin01 -keystore D:\client01.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client01.key.cer
keytool -export -alias admin02 -keystore D:\client02.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client02.key.cer
keytool -export -alias admin03 -keystore D:\client03.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client03.key.cer
keytool -export -alias admin04 -keystore D:\client04.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client04.key.cer
2、将CER文件导入到server的证书库
加入为一个信任证书使用命令例如以下:
keytool -import -alias admin -v -file D:\client.key.cer -keystore D:\tomcat.keystore
keytool -import -alias admin01 -v -file D:\client01.key.cer -keystore D:\tomcat.keystore
keytool -import -alias admin02 -v -file D:\client02.key.cer -keystore D:\tomcat.keystore
keytool -import -alias admin03 -v -file D:\client03.key.cer -keystore D:\tomcat.keystore
keytool -import -alias admin04 -v -file D:\client04.key.cer -keystore D:\tomcat.keystore
3、检查安装结果
keytool -list -keystore D:\tomcat.keystore
四、让客户端信任server证书
1、把server证书导出为CER文件
keytool -keystore D:\tomcat.keystore -export -alias tomcat -file D:\tomcat.cer
2、在客户端安装server证书
双击“tomcat.cer”。依照提示安装证书。将证书填入到“受信任的根证书颁发机构”。
3:初始化UK
找到以下文件夹文件,双击
PKI\Utilities\PKIINIT\PKIInit_M32.exe
PKI\Utilities\PKIINIT\PKIInit_M8.exe
出现例如以下界面。按随意键回车
稍等几秒,出现例如以下界面后初始化UK成功
PKIInit_M8.exe : ePass1000ND PKI初始化工具,初始化8K的Token,它须要依赖lib\lib_x86\init_eps1knd_hid.dll
PKIInit_M32.exe: ePass1000ND PKI初始化工具,初始化32K的Token,它须要依赖lib\lib_x86\init_eps1knd_hid.dll
4:安装USBKEY中间件安装程序
PKI\Redist\cn\eps1knd_Chinese Simplified_std.exe 双击按提示完毕安装。安装完毕后会又一次启动
5:导入生成的客户端证书到USBKEY。我这里导入之前生成 admin01为例
CDROM_CN\PKI\Redist\ ePassNgMgr_EndUser.exe 双击文件
我们能够看到,已经识别到有UK插入电脑 FT HID VSCR 2[epass Token] 状态显示卡片已插入且能够使用,假设没有此状态显示,可能原因是,没有安装中间件安装程序,或者是USBKEY初始化没有成功。
点击展开识别到的USBKEY
能够运行相关的操作:登录。改动用户pin,改动令牌名
首先我们须要登录,点击登录button,输入pin码,初始化为 1234。按提示出入成功后。我们能够改动pin码
能够选择改动对应的pin码
改动对应的令牌名,这里改成 admin01,便于区分导入的证书
完毕后,点击左側导航文件夹下的 数据管理 选项
如今我们来导入相关的客户端证书,该USBKEY的唯一标识
选择之前我们存放在D盘的客户端证书client01.key.p12。输入刚才生成证书时设置的password。点击确定,证书就导入到USBKEY中了。然后我们就能够写JAVA代码做开发工作了。
6:java开发代码
tomcat 的 https訪问 server.xml配置文件设置
找到凝视的这段代码,https訪问端口我设置为8443,以下加粗的地方是我们存放server的证书地址。如今配置的是Windowsserver。以Linux作为server时,不用再Linuxserver又一次命令生成server证书,能够直接把Windows上生成的server证书复制到Linuxserver上就可以,相同适用(注意改变server证书的路径)。
部署好之后,我们訪问对应的项目网网址,比方我们的项目名称是:test1
訪问的URL为:https://localhost:8443/test1
因为是https双向认证。在訪问此站点之前,我们要确认客户端是否已经安装了server证书了,
上面有提到
在客户端安装server证书
双击“tomcat.cer”,依照提示安装证书,将证书填入到“受信任的根证书颁发机构”。
按提示安装
6:java代码块实现
import java.security.cert.X509Certificate;
X509Certificate[] ca=(X509Certificate[])ServletActionContext.getRequest().getAttribute(“javax.servlet.request.X509Certificate”);//获取插入的USBKEY写入的客户端证书信息,我们刚才写入的是 admin01
if(ca==null)
{
log.info(“登录失败:无法获取数字证书信息”);
}else{
boolean pass=false;
for(int i=0.;i++){//这行有点小问题
X509Certificate x509certificate = ca[i];
String userid = x509certificate.getSubjectDN().getName();//得到username
int pos1 = userid.indexOf(“=”);
int pos2 = userid.indexOf(“,”);
userid = userid.substring(pos1+1,pos2);
java.util.Date bgn = x509certificate.getNotBefore();//得到数字证书的有效日期
java.util.Date end = x509certificate.getNotAfter();
java.util.Date now = new java.util.Date();
if(now.after(bgn) && now.before(end)){
pass = true;//证书验证成功
}
}
if(pass==true){//运行相关的业务逻辑操作
}
userid 就是我们读取到的USBKEY客户端证书信息,这样你就能够去做相关的业务实现操作了。
訪问的URL为:https://localhost:8443/test1,一下就自己实现了。。
。
。
。
备注:生成server。客户端证书时一定要细心,參数非常easy写错。
依据之前測试遇到的问题,发现仍有部分操作系统须要安装USBKEY驱动才干正确识别USBKEY设备,
假设USBKEY插入有图下的提示:key 已插入,说明该系统已经安装此驱动。或该系统已经免驱安装,则不用安装此USBkey驱动了。(备注:windows 7须要安装 ;Windows8不须要安装)
否则运行上面的步骤
4:安装USBKEY中间件安装程序
PKI\Redist\cn\eps1knd_Chinese Simplified_std.exe 双击按提示完毕安装,安装完毕后会又一次启动
https双向认证訪问管理后台,採用USBKEY进行系统訪问的身份鉴别,KEY的证书长度大于128位,使用USBKEY登录...相关推荐
- https双向认证访问管理后台,采用USBKEY进行系统访问的身份鉴别,KEY的证书长度大于128位,使用USBKEY登录
最近项目需求,需要实现用USBKEY识别用户登录,采用https双向认证访问管理后台管理界面,期间碰到过一些小问题,写出来给大家参考下. 1:前期准备工作 USBKEY 硬件:我买的是飞天诚信 epa ...
- HTTPS双向认证配置
最近看了下HTTPS相关的,概念性的东西各位就去查查资料吧.主要找到两篇比较靠谱的文章,收藏下. xiooa面复制自https://my.oschina.net/jjface/blog/339144 ...
- tomcat实现https双向认证配置
Tomcat实现https双向认证配置 1.生成证书库 2.jks转p12 3.证书库导出cer文件 4.证书库生成证书请求 5.对证书请求进行签名 6.例子 6.1创建证书库 6.2导出根证书 6. ...
- Apache httpd设置HTTPS双向认证
一.环境 httpd: 2.4.4 openssl:1.0.1 os:ubuntu 12.04 LTS 二.场景 我准备在httpd上配置一个HTTPS双向认证,既向客户端表明自己的身份,也只允许 ...
- httpd设置HTTPS双向认证
去年用tomcat.jboss配置过HTTPS双向认证,那时候主要用的是JDK自带的keytool工具.这次是用httpd + openssl,区别比较大 在网上搜索了很多文章,发现全面介绍的不多,或 ...
- 巧用 Nginx 快速实现 HTTPS 双向认证
1.原理 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立 HTTPS 连接的过程中,握手的流程比单向认证多了几步.单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建 ...
- Ktor实现Https双向认证
前言 Ktor依靠跨端的能力,使得我们可以统一前后端.多平台的网路开发体验,本篇讲解如何在Ktor中实现Https双向认证. 密钥库 双向认证简单来说就是前后端各自生成自己的密钥库(包含一对公私钥), ...
- kubernetes https双向认证-----ca认证
为什么写这个呢? 在没有了解k8s认证的时候干过一件蠢事,公司项目是通过bearer token进行权限认证的,当时一直在纠结这个token是哪儿来的,然后各种查询secret对比是否一样,最后找到了 ...
- Android应用实现Https双向认证
为什么需要双向认证 Https保证的是信道的安全,即客户端和服务端通信报文的安全.但是无法保证中间人攻击,所以双向认证解决的问题就是防止中间人攻击. 中间人攻击(Man-in-the-MiddleAt ...
最新文章
- Linux火狐解压完运行不了,在Ubuntu系统下firefox账号无法登录的解决
- Postgres-XL:基于PostgreSQL的开源可扩展数据库集群
- 遇到的问题然后自己找到答案
- PLSQL9.0下载及配置oracle,PLSQL登录时常见问题解决
- springboot配置文件_SpringBoot系列干货:配置文件详解
- 导航器 Navigator
- 重庆科技学院c语言程序设计报告,2020年重庆科技学院《911程序设计综合》硕士研究生招生复试大纲...
- win2003下APACHE2.050+PHP5+MYSQL4.0.20+PHPMYADMIN2.57 的简易安装配置
- 速成pytorch学习——5天nn.functional 和 nn.Module
- android开发答题app,Android APP编写简单答题器
- 模板元实现顺序、分支和循环结构
- java源码简体转繁体
- 2022智慧工地劳务实名制系统——工地人员高效管理黑科技
- FPGA简单实现数据过采样
- C# EF The instance of entity type ‘EqInfo‘ cannot be tracked because another instance with the
- Kotlin 笔记(三)
- 中介者(Mediator)模式--------------只有一个仲裁者
- 光猫,路由器,机顶盒的区别
- app中的长连接与实现方式
- current root password的解决方案