L1q1d il 09:56, 29 ago 2006

2006-08-29T09:56:22Z

L1q1d il 09:55, 29 ago 2006

2006-08-29T09:55:45Z

Nuova pagina

= Obiettivo: =
Si vuole proteggere una pagina / webapp in tomcat con un
autenticazione forte, in maniera cioe' che il server permetta l'accesso solo ad
un client che si presenti con un certificato ritenuto valido.
= Creare una CA (Certificate Authority) locale =
== Utilizzo a scopo commerciale ==
In un caso di utilizzo a scopo commerciale il nostro certificato andrebbe firmato da
una CA reale come VeriSign o altre, a scopo sia di studio che di utilizzo in una
Intranet privata creeremo invece un CA locale.
Per questo c'e un makefile pronto, l'unico passo obbligatorio e' modificare il file
openssl.conf per adattarlo alle proprie necessita', specificando i parametri
obbligatori “commonName”, ”organizationName”, “countryName”,
“stateOrProvinceName” e se si vuole i facoltativi “organizationalUnitName” ed
“emailAddress”, dopodiche' nella directory dove c'e il makefile:
$> make init
Nella directory viene creata la struttura necessaria alla CA locale, in particolare il
file ca-key.pem sara' il certificato principale della CA.
== Lato Server ==
Creare un Java Keystore ( .jks) lato server, al suo interno un alias per il server con
una coppia di chiavi RSA:
n.b. $SERVER e' la variabile a cui sostituire il nome server
$> keytool -genkey -alias $SERVER -keyalg RSA -keystore $SERVER.jks -validity 365
Generare una Certificate Signing Request (.csr) per le chiavi server:
$> keytool -certreq -keyalg RSA -alias $SERVER -file $SERVER.csr -keystore $SERVER.jks
Firmare la richiesta generando un Certificato (.cert)
$> make sign
Convertire il Certificato in un formato adatto al keystore dove andra' importato
$> openssl x509 -in $SERVER.cert -out $SERVER-der.cer -outform DER
n.b. L'out ha estensione .cer e non .cert per windows
Completare il primo Keystore importando al suo interno due certificati: prima quello della CA per ragioni di dipendenza tra i due e poi quello server:
$> keytool -import -alias root -keystore $SERVER.jks -trustcacerts -file ca-cert.pem
$> keytool -import -alias $SERVER -file $SERVER-der.cer -keystore $SERVER.jks
Creare un Keystore CA , che conterra' solo certificati ma di entrambe le parti
$> keytool -import -alias ca-cert -keystore cacerts.jks -file ca-cert.pem -trustcacerts
== Lato Client ==
Generare le chiavi RSA del client
$> openssl genrsa -des3 -out $CLIENT.key 1024
Generare la richiesta CSR per il client
$> openssl req -key $CLIENT.key -new -out $CLIENTE.csr
Firmare la richiesta ed ottenere un Certificato (.cer) client
$> make sign
Combinare Chiavi (.key) e Certificato (.cer) in un unico package PKCS12 (.pfx)
$> openssl pkcs12 -export -inkey $CLIENT.key -in $CLIENT.cer -out
$CLIENT.pfx
= Installazione e Configurazione =
La procedura eseguita fino a qui rilascia 3 file rilevanti: i due Java Keystore
$SERVER.jks e cacerts.jks e un file $CLIENT.pfx.
== Lato Server ==
Copiare i due Keystore sotto la dir /conf di Tomcat
Editare il file server.xml sotto la dir /conf di Tomcat, e modificare la sezione
relativa ai connettori Ssl da cosi:
<pre>
<Connector port="8443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"/>
</pre>
a cosi:
<pre>
<Connector port="443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="conf\$SERVER.jks" keystorePass="changeit"
truststoreFile="conf\cacerts.jks" truststorePass="changeit"/>
</pre>
modificando quindi:
• La porta, da 8443 a 443, che e' la porta di default per https
• La variabile “clientAuth” da “false” a “true”
• Aggiungendo le due righe relative ai Keystore Jks
== Lato Client ==
Importare il file $CLIENT.pfx nel browser

Autore: Federico Pallante
mailto:vaquerito@slacky.it

← Versione meno recente		Versione delle 09:56, 29 ago 2006
Riga 1:		Riga 1:
		+	[[Category:Ufficio_e_Web]]
	= Obiettivo: =		= Obiettivo: =
	Si vuole proteggere una pagina / webapp in tomcat con un		Si vuole proteggere una pagina / webapp in tomcat con un

Strong Authentication - Cronologia

L1q1d il 09:56, 29 ago 2006

L1q1d il 09:55, 29 ago 2006