如何用Tomcat和Openssl構(gòu)建HTTPS雙向認(rèn)證環(huán)境？配置前，直接淘寶：gworg獲取公網(wǎng)信任證書(shū)。配置Tomcat以支持HTTPS的雙向身份驗(yàn)證（服務(wù)器將對(duì)客戶(hù)端證書(shū)進(jìn)行身份驗(yàn)證）：修改服務(wù)

如何用Tomcat和Openssl構(gòu)建HTTPS雙向認(rèn)證環(huán)境？

配置前，直接淘寶：gworg獲取公網(wǎng)信任證書(shū)。配置Tomcat以支持HTTPS的雙向身份驗(yàn)證（服務(wù)器將對(duì)客戶(hù)端證書(shū)進(jìn)行身份驗(yàn)證）：修改服務(wù)器.xml文件（$Tomcat）uhome/conf/服務(wù)器.xml)事實(shí)上，HTTPS的單向和雙向身份驗(yàn)證配置的唯一區(qū)別是將clientauth更改為false，并刪除truststore的相關(guān)配置，即單向HTTPS身份驗(yàn)證。單向HTTPS可能會(huì)被更多地使用。主要需要在瀏覽器與f服務(wù)器交互的HTTP中進(jìn)行加密，但不需要在客戶(hù)端證書(shū)不需要驗(yàn)證的情況下進(jìn)行加密。）完成上述配置后，重啟tomcat，服務(wù)器支持HTTPS的雙向認(rèn)證。

https單向認(rèn)證和雙向認(rèn)證的區(qū)別？

1. 不同的安全性：

單向身份驗(yàn)證只需要站點(diǎn)部署SSL證書(shū)，任何用戶(hù)都可以訪問(wèn)它（IP受限制的情況除外），但服務(wù)器提供身份驗(yàn)證。雙向認(rèn)證是指服務(wù)器需要客戶(hù)端提供身份認(rèn)證，只有服務(wù)器允許的客戶(hù)端才能訪問(wèn)。安全性高于客戶(hù)端。

2. 不同的用途：

一般web應(yīng)用采用單向認(rèn)證，原因很簡(jiǎn)單，用戶(hù)數(shù)量廣，而且不需要在通信層做用戶(hù)認(rèn)證，一般在應(yīng)用邏輯層保證用戶(hù)合法登錄。但是，如果是企業(yè)應(yīng)用對(duì)接，情況就不同了，可能需要對(duì)客戶(hù)端（相對(duì)來(lái)說(shuō)）進(jìn)行身份驗(yàn)證。此時(shí)，我們需要做雙向身份驗(yàn)證。

3. 不同要求：雙向認(rèn)證SSL協(xié)議的具體通信過(guò)程，要求服務(wù)器和客戶(hù)端都有證書(shū)。單向身份驗(yàn)證SSL協(xié)議不要求客戶(hù)機(jī)擁有CA證書(shū)，在協(xié)商對(duì)稱(chēng)密碼方案和對(duì)稱(chēng)調(diào)用密鑰時(shí)，服務(wù)器向客戶(hù)機(jī)發(fā)送一個(gè)未加密（不影響SSL進(jìn)程的安全）密碼方案。

擴(kuò)展信息：

SSL雙向身份驗(yàn)證客戶(hù)端發(fā)送和接收的握手信號(hào)：

發(fā)送客戶(hù)端Hello消息，解釋加密算法列表、壓縮方法和它支持的最大協(xié)議版本，并發(fā)送隨機(jī)數(shù)供以后使用。

然后，將收到一條服務(wù)器Hello消息，該消息包含服務(wù)器選擇的連接參數(shù)，并來(lái)自客戶(hù)端在開(kāi)始時(shí)提供的客戶(hù)端Hello。

當(dāng)雙方都知道連接參數(shù)時(shí)，客戶(hù)端和服務(wù)器將交換證書(shū)（取決于選定的公鑰系統(tǒng)）。這些證書(shū)通?；赬.509，但是有些草稿支持基于OpenPGP的證書(shū)。

服務(wù)器請(qǐng)求客戶(hù)端的公鑰?？蛻?hù)端有一個(gè)證書(shū)，即雙向身份驗(yàn)證。當(dāng)沒(méi)有證書(shū)時(shí)，將隨機(jī)生成公鑰?？蛻?hù)端和服務(wù)器端通過(guò)公鑰保密機(jī)制協(xié)商公共主密鑰（雙方隨機(jī)協(xié)商），通過(guò)精心設(shè)計(jì)的偽隨機(jī)數(shù)函數(shù)實(shí)現(xiàn)。結(jié)果可以使用Diffie-Hellman交換，或者簡(jiǎn)化的公鑰加密，雙方都用私鑰解密。

此“主密鑰”用于加密所有其他關(guān)鍵數(shù)據(jù)。在數(shù)據(jù)傳輸中，記錄層用來(lái)封裝HTTP等更高級(jí)的協(xié)議。記錄層數(shù)據(jù)可以隨意壓縮加密，并與報(bào)文驗(yàn)證碼一起壓縮。每個(gè)記錄層包都有一個(gè)內(nèi)容類(lèi)型段，用于記錄較高層使用的協(xié)議。

參考源：