-
Java keytool工具的作用及使用方法
2008-01-29 13:42:46
-
为测试 Java 应用程序生成证书链 -- 使用 OpenSSL 工具箱zt
2008-01-28 13:58:22
http://www.ibm.com/developerworks/cn/java/j-certgen/
数字证书:快速回顾
本文假定您熟悉 PKI 基础知识,因此我只对数字证书的目的和结构给予简要回顾以帮助说明证书链的概念。
数字证书的主要用途是验证签名数据的来源,如电子邮件和 JAR 文件。用证书验证签名的数据使接收者知道数据的来源以及它在传输过程中是否改变过。
在高层,一个数字证书包含一个 惟一名 (DN) 和一个 公钥。DN 标识一个具有与证书的公钥匹配的 私钥的实体——如一个人。通过用私钥对证书签名并将签名放到证书中而将两者结合到一起。
一个由匹配证书公钥的私钥签名的证书称为 自签名证书。根证书颁发机构 (Root certification authority,CA)证书就属于这一类。用户证书通常是由不同的私钥签名的,如 CA 的私钥。这构成了两证书链。验证用户证书为真涉及验证其证书中的签名,这需要 CA 的公钥。但在在可以使用 CA 的公钥之前,需要对封装的 CA 证书进行验证。因为 CA 证书是自签名的,所以用 CA 公钥验证证书。
用户证书需要用根 CA 的私钥签名。它可以用一个中介的私钥签名,这个私钥的证书是用 CA 的私钥签名的。这是一个三证书链的例子:用户证书、中介证书和 CA 证书。但是在链中可以有多个中介,因此证书链可以有任意的长度。
值得一提的另一点是证书可以包含额外信息,称为 extension。Extension 可以指定证书的用途以及其他内容。根据于证书的用途,某些 extension 有可能非常重要。
用 OpenSSL 创建证书
有一些创建证书的工具。可以使用在 Java SDK 中自带的一个命令行工具 keytool 创建自签名的证书。但是证书链需要更复杂的软件,如 OpenSSL。
安装后,保证 CA.sh 和 OpenSSL 可执行文件在路径中。然后就可以开始创建根证书了。
创建根证书
CA shell 脚本使创建根证书成为一项相对容易的工作。首先,进入要存放 CA 数据的目录。 (我使用 temp\OpenSSL 目录。) 然后键入:
CA -newca
这会产生一个像清单 1 的对话框,它包括我在提示符下输入的示例信息:
清单 1. 创建根证书
$ CA.sh -newca
$
下面是在主目录中文件的简单说明:
cacert.pem 是这个 CA 的 PEM 编码的(请参阅侧栏 PEM 文件格式)根证书。根证书验证由根私钥签名的证书。
index.txt 是包含所有发布的证书列表的文件。
serial 包含将指定给由这个 CA 发布的证书的下一个可用序列号。换一种说法,它是在这个根证书对签名请求签名时指定给一个证书的惟一序列号。
cakey.pem 是根私钥。这个密钥用于签名证书请求。它也是 PEM 编码的。
您定义目录名 (在这个例子中是 demoCA) 和根证书的有效周期,在 CA.sh 中它默认为 365 天。如果想要改变这些值,必须编辑这个文件。生成用户证书
生成用户证书有两步:生成一个请求和对请求签名。CA shell 脚本可以用 -newreq (生成一个新的请求) 和 -sign (签名一个新请求)操作符完成这两步。
生成一个新请求
执行 CA -newreq 命令会启动一个类似于生成新根证书时看到的对话框。一个主要的不同是这个对话框提示您输入 PEM 密码短语,OpenSSL 将使用这个短语编码私钥,然后将它写入输出文件。
输出文件名为 newreq.pem,包含私钥和签名请求,可以将它想像为未签名的证书。清单 2 显示了一个新请求对话框的例子。
清单 2. 示例 -newreq 对话框
对请求签名执行 CA -sign 命令会用包含在 private/cakey.pem 中的根 CA 的私钥签名请求。请求需要在一个名为 newreq.pem 的文件中,生成的证书写入到名为 newcert.pem 的文件中,这两个文件都在当前目录中。清单 3 显示了示例请求-签名对话框。
清单 3. 示例 -sign 对话框
$ CA.sh -sign
...X509v3 Subject Key Identifier:
FA:65:44:FB:3A:E6:15:1F:C5:40:6C:EB:F4:DA:AB:B9:CD:F2:2D:54
X509v3 Authority Key Identifier:
keyid:93:8C:B4:F0:30:95:77:59:2E:A1:3B:0C:A5:3A:C6:92:FA:16:31:6D
DirName:/C=UK/ST=Hampshire/L=Winchester/O=IBM UK Ltd/
ōU=JTC/CN=Paul H Abbott/Email=Paul_H_Abbott@uk.ibm.com
serial:00
Signature Algorithm: md5WithRSAEncryption
...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Signed certificate is in newcert.pem
注意对话框中请求的 PEM 密码是用来加密根 CA 的私钥——而不是用户的私钥——的密码。在签名后检查 demoCA 目录,可以看到 index.txt 和 serial 文件已经更新。生成的公钥也放到了 demoCA/newcert/ 目录中,文件名反映了其序列号——如 01.pem。
这时,有了一个用户证书、一个用户私钥和根证书。如果就需要这些,那么就可到此为止了。如果想要知道如何控制证书内容或者创建一个三(或者更多)证书链,则请继续往下读。
在 CA.sh 背后到目前为止,我展示了如何用 CA.sh shell 脚本简化证书生成过程。但是在背后,CA.sh 使用 OpenSSL 命令执行所有必要的密钥生成和签名操作。通过 openssl.cnf 配置文件控制 OpenSSL。我将讨论这个文件的某些部分和它们影响的 CA.sh 操作。
CA -newca
正如我在前面说过的,CA -newca 操作为 CA 创建必要的目录结构:
dir = ./demoCA # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts # default place for new certs.
certificate = $dir/cacert.pem # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/cakey.pem# The private key
这个操作创建在 openssl.cnf 中的 CA_default 一节中定义的目录,尽管 CA.sh 不直接引用配置文件。如果想要使用不同的结构,需要修改 openssl.cnf 并手工创建所需要的目录。也可以修改 CA.sh 以创建目录。.下面对 OpenSSL 的调用生成一个根证书:
openssl req -new -x509 -keyout ./demoCA/private/cakey.pem
-out ./demoCA/cacert.pem -days 365
-days 标志设置根证书的生存期为 365 天 (一年),它覆盖了在 openssl.cnf 中指定的所有值。CA -newreq
openssl.cnf 的 req 一节控制新证书请求的生成,如下面的例子所示:
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
第一行确定生成的密钥对的长度,第二行确定生成的私钥的默认目标文件。后面两行指向同一文件的其他节。req_distinguished_name 一节定义了要放在证书请求中的 DN 组件,这些组件最终要进入签名的证书中:
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = AU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (e.g., city)
organizationName = Organization Name (e.g., company)
organizationalUnitName = Organizational Unit Name (e.g., section)
commonName = Common Name (e.g., YOUR name)
emailAddress = Email Address
这一节的每一部分包含最多四个值,如例子中的第二到第五行所示:打印到屏幕上的消息提示
一个默认值 (后缀 _default)
用户可以键入的最少字符数 (后缀 _min)
用户可以输入的最多字符数 (后缀 _max)
还有其他几个选项。它们包括定义自己的对象标识符 (OID)类型和让惟一名值在配置文件中定义而不是由用户提供,这对于批处理操作会很有用。req_attributes 一节可以定义加密密码的最小和最大长度,以及其他内容。new-request 操作的 OpenSSL 调用为:
openssl req -new -keyout newreq.pem -out newreq.pem -days 365
注意 -keyout 选项覆盖了配置文件中的 default_keyfile 一行。同样,生成的证书的生存期设置为 365 天。如果拿这个一行与生成根证书的那一行比较,您会看到只有一处不同:-x509。它告诉 OpenSSL 您需要一个自签名的证书。可以在 OpenSSL 文档 (请参阅 参考资料) 的 req 一节中找到更多关于使用 OpenSSL 生成签名请求的信息。
CA -sign
签名操作,就像请求生成操作一样,使用对 OpenSSL 的调用对证书签名:
openssl ca -policy policy_anything -out newcert.pem
-infiles newreq.pem
值得注意的是 OpenSSL 命令是 ca 而不是 sign,没有指定用来签名的私钥。openssl.cnf 配置文件定义了这些信息。有关的一节是 CA_default,尽管可以使用 -name 选项覆盖它。-policy 参数指定配置文件中的策略一节。用这一节指定哪些字段必须出现在 DN 请求中,哪些是可选的。我通常使用这种配置:
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
可以看到,这种配置默认情况下要求很低。值得注意的是文档声明没有在这里列出的 DN 字段将会无声无息地从签名的请求中删除。
签名第三个证书本书的 创建根证书 和 生成一个用户证书 两节展示了如何用 CA.sh shell 脚本创建根证书,然后用根证书签名用户证书。如果只想有一个两证书链,那些这个过程就足够了,但是如果在链中需要三个或者更多的证书呢?回答是直接使用 OpenSSL 命令。既然知道了 CA.sh 脚本是如何工作的,就可以利用这些知识创建一个三证书链。其步骤类似于创建二证书链的步骤。为了简化,将重复使用上一例子中的 CA 证书/私钥和用户请求。
首先重命名现有的用户请求文件为 userRequest1.pem。然后创建一个新的用户证书,将称它为 userCert1。现有的用户证书没有标记为 CA 证书,并且不能用于对其他证书签名。(只有在试图验证一个包含这种证书的证书链时才会看到这一点。)
需要添加以下一节,它使证书可以根据配置文件对证书签名:
[ my_v3_ext ]
basicConstraints = CA:true
使用以下命令来签名证书:openssl ca -policy policy_anything -extensions my_v3_ext
-out userCert1.pem -infiles userRequest1.pem
下一步,为第三个证书生成一个新的证书请求。可以使用 CA -newreq 命令完成这项任务,也可以直接使用 OpenSSL 命令。有了请求文件后,需要对它签名。如前所述,用来对请求签名的私钥默认是在配置文件中而不是 openssl ca 命令中指定的。但是 openssl ca 命令可以包含一个 -keyfile 选项,它让您可以覆盖这个默认值。下面的命令使用第二个证书签名第三个证书:
openssl ca -policy policy_anything -keyfile userRequest1.pem
-cert userCert1.pem -out userCert2.pem -infiles newreq.pem
注意 -cert 参数指定了签名者的证书,覆盖了配置文件中的默认值。不用这个参数调用这个命令将会产生一个错误,因为 OpenSSL 会检查私钥和签名者的证书是否匹配。假定一切顺利,在当前目录中应当有 userCert1.pem 和 userCert2.pem 文件,在 demoCA/private 目录中有根 CA 证书。这三个文件构成了证书链。如果使用 Windows,那么应当可以通过在文件浏览器中更改文件名使它们具有 .cer 扩展名,并双击它们来安装证书。
其他选项
可以发现下面 OpenSSL 命令行选项很有用:
-startdate, -enddate & -days 可以指定生成的证书的有效周期。在默认情况下,一个证书从当前日期起一年有效。
-notext 可以关闭出现在二进制编码版本之前的已生成证书的文字表述。文字版本通常不是必需的。
-key 是用来加密私钥的密码。它在要从一个批处理文件中调用 OpenSSL 时很有用。
-batch 告诉 OpenSSL 在批处理模式下工作,没有用户提示。
-extfile 指定一个文件包含证书扩展。
将证书装载到 Java keystoreJava keystore 是私钥的存储库,相关的 X.509 证书链认证对应的公钥。让证书链进入 Java keystore 需要一个简单的 Java 程序。清单 4 中的代码片段将所创建的三证书链读入到一个现有的 keystore 中:
清单 4. 将证书链装载到 Java keystore
// The keystore to add the certificates to
FileInputStream ksis = new FileInputStream(".keystore");
// The new keystore with the certificates added
FileOutputStream ksos = new FileOutputStream(".newkeystore");
// The certificate files, to be added to keystore
FileInputStream certFile1 = new FileInputStream("cacert.cer");
FileInputStream certFile2 = new FileInputStream("userCert1.cer");
FileInputStream certFile3 = new FileInputStream("userCert2.cer");
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// Read the 3 certificates into memory
Certificate cert1 = cf.generateCertificate(certFile1);
Certificate cert2 = cf.generateCertificate(certFile2);
Certificate cert3 = cf.generateCertificate(certFile3);
// Read the keystore file, type="jks"
KeyStore ks = KeyStore.getInstance("jks");
char[] password = "password".toCharArray();
ks.load(ksis, password);
// Add certificates to keystore
ks.setCertificateEntry("MYROOT_ALIAS", cert1);
ks.setCertificateEntry("MYUSER1_ALIAS", cert2);
ks.setCertificateEntry("MYUSER2_ALIAS", cert3);
// Write modified keystore to file system
ks.store(ksos, password);
ksos.close();
在清单 4 中,keystore 的密码是 password,keystore 类型是 jks。证书进入 keystore 后,任何配置为访问这个keystore 的 Java 应用程序都可以使用它们。Sun 的 JDK 文档包含了如何做到这一点的信息。
结束语正如您现在可能已经认识到的,可以用 OpenSSL 实现非常简单的 CA 并发布证书。您可能决定在完成自己的测试应用程序后,使它获得您的证书链。不过,这种方式需要承担验证所有证书的来源并管理已发布证书的责任。另一方面,您可能决定使用外部 CA 来发布证书,如 thawte 或 VeriSign,这种方式也有其优点和缺点。
本文展示了如何为使用基于 PKI 的安全性的测试 Java 应用程序创建证书链。为了不分散这个主题,我没有触及您可能会感兴趣的相关领域,如在其他应用程序(如电子邮件)中使用生成的证书链,如何在另一种语言中使用生成的证书链,以及证书吊销列表。如果您有意了解这些内容以及网络安全性和数字证书的复杂主题的其他领域,请参阅参考资料 一节中提供的一些极好的信息资源。
参考资料1,下载最新版本的 OpenSSL 源代码(http://www.openssl.org/source)。
2,The OpenSSL Documentation(openssl.org/docs/apps/openssl.html) 是 OpenSSL 命令的主文档。它还不完整,但是仍然相当有用。
3,如果使用 Windows 但是没有 MKS,可以从 SourceForge 下载必要的 OpenSSL 二进制文件(gnuwin32.sourceforge.net/packages/openssl.htm) 。
4,Introduction to Public Key Infrastructure(www.articsoft.com/wp_pki_intro.htm) 提供了对 PKI 的基本介绍。
5,Jalal Feghhi 和 Peter Williams 的 Digital Certificates: Applied Internet Security (Addison-Wesley Professional,1998)(devworks.krcinfo.com/WebForms/ProductDetails.aspx?ProductID=0201309807) 描述了数字证书及它们的使用,主要是从 Windows 的角度。
6,Marco Pistoia et al. 的 Java 2 Network Security, 2nd Edition(portal.acm.org/citation.cfm?id=554493&dl=ACM&coll=portal) (Prentice Hall PTR,1999) 提供了关于 Java 2 安全性的有用背景知识。
7,安全专家 Brad Rubin 撰写了这个讨论 Java 安全性的全面的由两部分组成的入门教程。 Part 1, Crypto basics (developerWorks,2002 年 7 月)引导您学习关于加密的基础知识以及如何在某 Java 编码语言中实现它,Part 2, Authentication and authorization(ibm.com/developerworks/edu/j-dw-javasec2-i.html?S_TACT=105AGX52&S_CMP=cn-a-j) (developerWorks,2002 年 7 月) 介绍了认证的基础知识并提供了 JAAS 体系结构的概述。
8,Internet Engineering Task Force (IETF) Request for Comment (RFC) 2459(ietf.org/rfc/rfc2459.txt) 描述了在 Internet 上使用的 X.509 v3 证书和 X.509 v2 证书吊销列表 (CRL)。
9,IETF RFC 1617(ietf.org/rfc/rfc1617.txt) 提供了 X.500 目录命名和结构指导。
10,"Java 安全的演进" (developerWorks,2002 年 6 月)提供了开发和发展 Java 安全性的高层概述。
11,PKI 包(www.pki-page.org/) 包含发布数字证书的证书权威机构的一长串清单。
12,Which SSL: The SSL Certificate Buyers Guide(whichssl.com/ssl-certificate-market_share.html) 设计用于帮助您确定选择哪个提供商来提供数字证书。
13,IBM alphaWorks(alphaworks.ibm.com/tech/keyman) 的 KeyMan 是管理密钥、证书、CRL 以及存储和获取这些条目的相应存储库的工具。
14,在 developerWorks Java 技术专区 中可找到数百种 Java 技术资源。
15,请访问 Developer Bookstore(devworks.krcinfo.com/),获取技术书籍的完整列表,其中包括数百本 Java 相关主题 的书籍。
16,是否对无需通常的高成本入口点(entry point )或短期评估许可证的 IBM 测试产品感兴趣? developerWorks Subscrīption 为 WebSphere?、DB2?、Lotus?、Rational? 和 Tivoli? 产品提供了低成本的 12 个月单用户许可证,包括基于 Eclipse 的 WebSphere Studio IDE,用于开发、测试、评估和展示您的应用程序。
-
DOS 命令大全
2008-01-07 16:31:06
-
sms
2008-01-07 16:25:40
-
WAP 设置
2008-01-07 16:20:17
一.WAP 设定:
n PS(GPRS) 设置
Ø Connectivity->Data comm->Data accounts->New account->PS data->Name :wap->APN: cmwap->save
Ø Connectivity->Internet settings->Internet profiles->New profile->name:wap->Connect using: wap->Save
Ø Connectivity->Internet settings->Internet profiles:Wap->More->Settings->Connect using:Wap ->Internet mode:Wap->Gateway address:10.0.0.172->Save
n CS(GSM)设置
Ø Connectivity->Data comm->Data accounts->New account->CS data->Name: csd->Phone num:17266 -> Username:wap->Password:wap->Save
Ø Connectivity->Internet settings->Internet profiles->New profile->name:csd->Connect using: csd->Save
Ø Connectivity->Internet settings->Internet profiles->Csd->More->Settings->Connect using:Csd->Internet mode:WAP->Gateway address:10.0.0.172->Save
n MMS设置
Ø 按上述PS或CS设置好(一般我们用的是PS), 然后进行下述MMS设置.
Ø Messaging->Settings->Picture message-> Message server: mmsc.monternet.com-> Internet profile:wap
n Email 设置
Ø Connectivity->Data comm->Data accounts->New account->PS/CS data->Name :Net -> APN: cmnet -> save
Ø Connectivity->Internet settings->Internet profiles->New profile->name:net->Connect using: net->Save
Ø Connectivity->Internet settings->Internet profiles:net->More->Settings->Connect using: net ->Internet mode: Http/Wap->Gateway address:10.0.0.172->Save
Ø Messaging->Email->Settings->Account settings->New accout(select a account)->More->Edit account
Ø Connecting using->Net
Ø Protocol:pop3
Ø Incoming server: pop.sohu..com(pop3.sina.com.cn)
Ø Incoming port:110
Ø Mailbox: ceshi
Ø Password: 12345
Ø Outgoing server: smtp.sohu.com
Ø Outgoing port:25
Ø E-mail addres:ceshi@sohu.com
n ImAP4(移动梦网邮箱)
n New account->imap->Connect using: Net->Protocol: Imap4->Incoming server: Imap.monternet.com.->
n Mailbox: 13911378095->Password:13911378095->Outgoing server: smtp.monternet.com->Email address: 13911378095@monternet.com
Ø 拨入服务器: Imap.monternet.com
Ø 拨出服务器: smtp.monternet.com
Ø DNS: 202.106.196.115
Ø Mailbox:13911776924
二.短信服务中心号码
Messaging-> Settings ->Text message ->Service centre
中国移动: +8613800100500
中国联通: +8613010112500
三.语音信箱:
n 将开通语音信箱的SIM卡插入 MS.
n Messaging->Settings->Voicemail number->Line 1->Input the application number(13800100166)->Ok
n Settings->Calls->Divert calls->Voice calls->All line 1 calls(\When busy\Not reachable\No reply)->Activate->Number(13800100166)->Ok
n Messaging->Inbox->Select a leave word and listen.
四.My friends
n Connectivity->Data comm->Data accounts->New account->PS data->Name :wap->APN: cmwap->save
n Connectivity->Internet settings->Internet profiles->New profile->name:wap->Connect using: wap->Save
n Connectivity->Internet settings->Internet profiles:Wap->More->Settings->Connect using:Wap-> Internet mode:Wap->Gateway address:10.0.0.172->Save
n Messaging->Myfriends->Myself(Configure)->Username:Linnxx(xx:02~09)->Domain:
n impsl.com->Password:pwd->Server: http://wv11.wv.trial.ericsson.net:8090/csp11
n Internet profile: wap
五.Test lan
n Settings data accounts: Connectivity->Data comm->Data accounts->New account->PS data->Set up two data accounts :Name :cmwap and cmnet->APN: cmwap/cmnet->save
n Connectivity->Internet settings->Internet profiles->New profile->name:cmwap ->Connect using: cmwap->Save
n Connectivity->Internet settings->Internet profiles:cmwap/cmnet->More->Settings->Connect using(Settings browsing as following:)
Connect using
Internet mode
Use proxy
IP address
Port number
SIM Card
Cmwap
Http
Yes
10.0.0.172
80
Cmwap
WAP
/
10.0.0.172
/
Cmnet
WAP
/
192.16.134.137
/
Cmnet
Http
Yes
192.16.134.137
8080
Cmnet
Http
No
/
/
n Connectivity->Streaming settings->connet using:Cmnet
Ø The following are all the working settings for CMCC SIM cards:
Ø Only Cmnet is OK to use when it comes to streaming at the moment
Connect using
Use Proxy
IP address
Port Number
SIM Card
Cmnet
Yes
192.16.134.137
554
Cmnet
Yes
192.16.134.137
8080
Cmnet
Yes
10.0.0.172
554
Cmnet
Yes
windows port (二)
2008-01-04 16:19:35
标题搜索
我的存档
数据统计
- 访问量: 7752
- 日志数: 7
- 建立时间: 2008-01-04
- 更新时间: 2008-01-29
RSS订阅
