近期项目需求，须要实现用USBKEY识别用户登录，採用https双向认证訪问管理后台管理界面，期间碰到过一些小问题，写出来给大家參考下。
1:前期准备工作
USBKEY 硬件：我买的是飞天诚信 epass1000ND
若干个（一个USBKEY绑定一个用户。等同于我们的银行Ｕ盾识别一样）
USBKEY开发资料：CDROM_CN\PKI，找到该开发文件夹（跟厂家买硬件时一并给的开发包）
里面包括的文件例如以下
======================================================

文件夹 & 说明

Include: 包括了ePass1000ND PKI接口开发以及演示样例程序中用到的头文件；
Lib : 包括了ePass1000ND PKI接口开发以及演示样例程序中用到的库文件；
Redist : 可由分发商再次分发的文件；
Samples : 演示样例程序；
Utilities:工具集。

======================================================

出厂设置

出厂设置SOPIN：rockey
出厂设置USERPIN：1234
出厂设置SOPIN和USERPIN连续输错重试次数：15
中间件安装程序：PKI\Redist\cn\eps1knd_Chinese Simplified_std.exe
管理工具：PKI\Utilities\ePassNgMgr.exe
终于用户管理工具：PKI\redist\ePassNgMgr_EndUser.exe
初始化工具：PKI\Utilities\PKIINIT\PKIInit_M32.exe
PKI\Utilities\PKIINIT\PKIInit_M8.exe

2：生成相关证书
因为是https双向认证登录。所以我们生成对应的服务端客户端证书
server系统：windows8
程序 》開始》运行》cmd进入命令行

我这里举例生成一个server证书 tomcat ，5个客户端证书，相当5个用户：admin,admin01，admin02,admin03,admin04

命令行，依次运行例如以下命令生成证书
一、为server生成证书
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -validity 36500

二、为客户端生成证书
1、生成客户端证书
keytool -genkey -v -alias admin -keyalg RSA -storetype PKCS12 -keystore D:\client.key.p12
keytool -genkey -v -alias admin01 -keyalg RSA -storetype PKCS12 -keystore D:\client01.key.p12
keytool -genkey -v -alias admin02 -keyalg RSA -storetype PKCS12 -keystore D:\client02.key.p12
keytool -genkey -v -alias admin03 -keyalg RSA -storetype PKCS12 -keystore D:\client03.key.p12
keytool -genkey -v -alias admin04 -keyalg RSA -storetype PKCS12 -keystore D:\client04.key.p12
2、安装客户端证书
双击客户端证书“client.key.p12”完毕导入证书步骤例如以下：

三、让server信任客户端证书
1、将客户端证书导出为CER文件
keytool -export -alias admin -keystore D:\client.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client.key.cer

keytool -export -alias admin01 -keystore D:\client01.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client01.key.cer

keytool -export -alias admin02 -keystore D:\client02.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client02.key.cer

keytool -export -alias admin03 -keystore D:\client03.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client03.key.cer

keytool -export -alias admin04 -keystore D:\client04.key.p12 -storetype PKCS12 -storepass 012345 -rfc -file D:\client04.key.cer

2、将CER文件导入到server的证书库
加入为一个信任证书使用命令例如以下：
keytool -import -alias admin -v -file D:\client.key.cer -keystore D:\tomcat.keystore

keytool -import -alias admin01 -v -file D:\client01.key.cer -keystore D:\tomcat.keystore

keytool -import -alias admin02 -v -file D:\client02.key.cer -keystore D:\tomcat.keystore

keytool -import -alias admin03 -v -file D:\client03.key.cer -keystore D:\tomcat.keystore

keytool -import -alias admin04 -v -file D:\client04.key.cer -keystore D:\tomcat.keystore

3、检查安装结果
keytool -list -keystore D:\tomcat.keystore

四、让客户端信任server证书
1、把server证书导出为CER文件
keytool -keystore D:\tomcat.keystore -export -alias tomcat -file D:\tomcat.cer

2、在客户端安装server证书
双击“tomcat.cer”。依照提示安装证书。将证书填入到“受信任的根证书颁发机构”。

3：初始化UK
找到以下文件夹文件，双击
PKI\Utilities\PKIINIT\PKIInit_M32.exe
PKI\Utilities\PKIINIT\PKIInit_M8.exe
出现例如以下界面。按随意键回车

稍等几秒，出现例如以下界面后初始化UK成功

PKIInit_M8.exe : ePass1000ND PKI初始化工具,初始化8K的Token，它须要依赖lib\lib_x86\init_eps1knd_hid.dll
PKIInit_M32.exe: ePass1000ND PKI初始化工具,初始化32K的Token，它须要依赖lib\lib_x86\init_eps1knd_hid.dll

4：安装USBKEY中间件安装程序
PKI\Redist\cn\eps1knd_Chinese Simplified_std.exe 双击按提示完毕安装。安装完毕后会又一次启动

5：导入生成的客户端证书到USBKEY。我这里导入之前生成 admin01为例
CDROM_CN\PKI\Redist\ ePassNgMgr_EndUser.exe 双击文件

我们能够看到，已经识别到有UK插入电脑 FT HID VSCR 2[epass Token] 状态显示卡片已插入且能够使用，假设没有此状态显示，可能原因是，没有安装中间件安装程序，或者是USBKEY初始化没有成功。
点击展开识别到的USBKEY
能够运行相关的操作：登录。改动用户pin,改动令牌名
首先我们须要登录，点击登录button，输入pin码，初始化为 1234。按提示出入成功后。我们能够改动pin码

能够选择改动对应的pin码
改动对应的令牌名，这里改成 admin01,便于区分导入的证书

完毕后，点击左側导航文件夹下的 数据管理 选项

如今我们来导入相关的客户端证书，该USBKEY的唯一标识

选择之前我们存放在D盘的客户端证书client01.key.p12。输入刚才生成证书时设置的password。点击确定，证书就导入到USBKEY中了。然后我们就能够写JAVA代码做开发工作了。

6：java开发代码
tomcat 的 https訪问 server.xml配置文件设置
找到凝视的这段代码，https訪问端口我设置为8443，以下加粗的地方是我们存放server的证书地址。如今配置的是Windowsserver。以Linux作为server时，不用再Linuxserver又一次命令生成server证书，能够直接把Windows上生成的server证书复制到Linuxserver上就可以，相同适用（注意改变server证书的路径）。

部署好之后，我们訪问对应的项目网网址，比方我们的项目名称是：test1
訪问的URL为：https://localhost:8443/test1
因为是https双向认证。在訪问此站点之前，我们要确认客户端是否已经安装了server证书了，

上面有提到
在客户端安装server证书
双击“tomcat.cer”，依照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

按提示安装

6：java代码块实现
import java.security.cert.X509Certificate;

X509Certificate[] ca=(X509Certificate[])ServletActionContext.getRequest().getAttribute(“javax.servlet.request.X509Certificate”);//获取插入的USBKEY写入的客户端证书信息，我们刚才写入的是 admin01
if(ca==null)
{
log.info(“登录失败：无法获取数字证书信息”);
}else{
boolean pass=false;
for(int i=0.;i++){//这行有点小问题
X509Certificate x509certificate = ca[i];
String userid = x509certificate.getSubjectDN().getName();//得到username
int pos1 = userid.indexOf(“=”);
int pos2 = userid.indexOf(“,”);
userid = userid.substring(pos1+1,pos2);
java.util.Date bgn = x509certificate.getNotBefore();//得到数字证书的有效日期
java.util.Date end = x509certificate.getNotAfter();
java.util.Date now = new java.util.Date();
if(now.after(bgn) && now.before(end)){
pass = true;//证书验证成功
}
}
if(pass==true){//运行相关的业务逻辑操作
}

userid 就是我们读取到的USBKEY客户端证书信息，这样你就能够去做相关的业务实现操作了。

訪问的URL为：https://localhost:8443/test1，一下就自己实现了。。

。

。

。

备注：生成server。客户端证书时一定要细心，參数非常easy写错。
依据之前測试遇到的问题，发现仍有部分操作系统须要安装USBKEY驱动才干正确识别USBKEY设备，
假设USBKEY插入有图下的提示：key 已插入，说明该系统已经安装此驱动。或该系统已经免驱安装，则不用安装此USBkey驱动了。（备注：windows 7须要安装 ；Windows8不须要安装）

否则运行上面的步骤
4：安装USBKEY中间件安装程序
PKI\Redist\cn\eps1knd_Chinese Simplified_std.exe 双击按提示完毕安装，安装完毕后会又一次启动