openssl证书申请

1. 根证书的申请

准备根证书

准备一些空目录和文件，作用如下：

• certs/ 保存颁发的所有证书的副本

• index.txt 跟踪已颁发的证书，初始为空

• openssl.cnf openssl和根证书的配置文件

• private/ CA证书的私钥

• serial 最后一次颁发的证书的序列号，初始值01，也可以是00等其它值

openssl.cnf内容如下，我一气儿弄了10年的有效期：

[ ca ] default_ca = FwolfCA [ FwolfCA ] dir = /big2/tools/ca

certificate = $dir/cacert.pem database = $dir/index.txt new_certs_dir = $dir/certs private_key = $dir/private/cakey.pem serial = $dir/serial default_crl_days= 7 default_days = 3650 default_md = sha1 policy = FwolfCA_policy x509_extensions = certificate_extensions [ FwolfCA_policy ] commonName = supplied stateOrProvinceName = supplied

stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName= supplied organizationalUnitName = optional [ certificate_extensions ] basicConstraints= CA:false # 下面是根证书的配置信息 [ req ] default_bits = 4096 default_keyfile = /big2/tools/ca/private/cakey.pem default_md = sha1 prompt = no

distinguished_name = root_ca_distinguished_name x509_extensions = root_ca_extensions [ root_ca_distinguished_name ] commonName = Fwolf CA stateOrProvinceName = The Earth # countryName只能是两位字母 countryName = CN emailAddress=***************************#organizationName = Root Certification Authority organizationName = Fwolf CA Root [ root_ca_extensions ] basicConstraints = CA:true 然后生成根证书：

$ openssl req -x509 -newkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config openssl.cnf 会提示输入密码以及确认密码。生成好以后可以验证一下（说是验证，其实就是看看内容）：

$ openssl x509 -in cacert.pem -text -noout 给自己颁发证书

$ openssl req -newkey rsa:4096 -keyout office.fwolf.com.key.pem -keyform PEM -out office.fwolf.com.req.pem -outform PEM -sha1 按提示输入两次密码，然后输入几项证书信息，注意其中organizationName必须输入，并且Common Name要和域名一致，比如：

Common Name (eg, YOUR name) []:*.fwolf.com 就生成了私钥key文件和请求req文件，然后把req文件提交给CA根证书签署（盖章）：

$ openssl ca -in office.fwolf.com.req.pem -config openssl.cnf

输入根证书的密码，就会在certs/目录下生成.pem证书文件，文件名以serial中的序号开头，信息会存储在index.txt中。

这样生成的证书，在apache中配置需要两条语句，分别指定证书和私钥：

SSLEngine On SSLCertificateFile /big2/tools/ca/certs/office.fwolf.com.cert.pem SSLCertificateKeyFile /big2/tools/ca/certs/office.fwolf.com.key.pem 其实这两个文件是可以合并为一个文件的：

$ cat office.fwolf.com.key.pem office.fwolf.com.cert.pem > office.fwolf.com.pem 然后在配置apache的时候就只需要一句了：

SSLEngine On SSLCertificateFile /big2/tools/ca/certs/office.fwolf.com.pem 其它

去掉证书的口令

现在证书基本上就可以使用了，再返回来说一个问题，就是在启动apache的时候会提示输入私钥的口令，要想去掉这个（一般都不会喜欢这样的），就要求在生成私钥的时候不要设置口令：

$ openssl req -newkey rsa:4096 -keyout office.fwolf.com.key.pem -keyform PEM -out office.fwolf.com.req.pem -outform PEM -sha1 -nodes 生成根证书的时候还是建议带上个口令，提高安全性。

index.txt

另外，如果要清空index.txt的话，一定要清空到字节0，里面有一个字节都会导致openssl ca错误：

wrong number of fields on line 1 (looking for field 6, got 1, '' left) 证书吊销

$ openssl ca -revoke office.fwolf.com.cert.pem # 生成CRL列表 $ openssl ca -gencrl -out exampleca.crl # 查看CRL列表信息 $ openssl crl -in exampleca.crl -text -noout # 验证CRL列表签名信息 $ openssl crl

-in exampleca.crl -noout -CAfile cacert.pem 可以看到CRL的版本号为1，这是OpenSSL默认的，除非crl_extensions被指定在配置文件ca一节中。

上传到MT主机上应用

首先在Server > Certificates >中Add New Certificate，填上Add New Certificate（自己起），然后选下面的Private key私钥文件和Certificate证书文件上传，就存到服务器上了。

然后返回证书列表，选中新上传证书前面的复选框，点上面的链接Make default for Web sites设置为网站默认证书，也可以通过Secure control panel将其设置为控制面板所使用的证书。

还没完，证书还得加到ip上才能生效，Server > IP Addresses >中修改ip地址属性，在SSL Certificate中选择刚才上传的证书，保存，就立刻生效了。

基于ssl/https协议的特性，一个ip上只能使用一个证书，所以合租用户是无法自己上传或者选择其它证书的，不过我现在使用的证书是签给“*”的，也就是所有域名都可以使用，“好看”一点。让我不理解的是，如果在访问一个域名时同意了这个证书，在访问另外一个域名的时候还得再同意一遍，也就是证书和域名是要配套使用的，和我原先的想法不太一致。

4.密钥和证书管理

密钥和证书管理是PKI的一个重要组成部分，OpenSSL为之提供了丰富的功能，支持

多种标准。

首先，OpenSSL实现了ASN.1的证书和密钥相关标准，提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序，同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能，使得密钥可以安全地进行存储和分发。

在此基础上，OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库，支持证书的管理功能，包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。

事实上，OpenSSL提供的CA应用程序就是一个小型的证书管理中心（CA），实现了证书签发的整个流程和证书管理的大部分机制。

下面说说俺在实际应用中证书的生成。

1.初始化CA：OPENSSL req -x509 -config 此处写配置文件的路径和名称 -extensions 此处为配置文件的根证书扩展配置 -newkey rsa:此处为编码大小 -keyout 此处为输出密钥的文件名称 -out 此处为输出根证书名称 -passout pass:此处为根证书密码 -days 此处为有效期，为天数。

当执行完此命令，便生成了根证书的私钥和根证书。

2.建立服务器证书：

建立请求：OPENSSL req -new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出请求 -config 配置文件 -days 有效期 -nodes（输出密钥和请求为同一文件）

建立newcert：OPENSSL ca -config 配置文件 -policy 配置文件中的段 -days 有效期 -out newcert.pem文件 -passin pass:CA密钥 -batch -extensions 配置文件中的段 -infiles 请求文件

建立PKCS12格式证书：RANDFILE=random文件路径 OPENSSL pkcs12 -export -in newcert.pem路径 -inkey 请求的密钥文件 -certfile CA证书文件 -caname CA名称 -out 输出的pfx文件 -clcerts -name commonname -passout pass:

RANDFILE=random文件路径 OPENSSL pkcs12 -in pfx文件 -out 输出的pem证书文件 -passin pass: -passout pass:

建立DER格式证书：OPENSSL x509 -in 以上建立的pem证书文件 -out der证书文件 -inform PEM -outform DER

3.建立用户证书：

建立请求：OPENSSL req -new -newkey rsa:此处为密钥大小 -keyout 输出用户私钥文件 -out 输出用户请求 -config 配置文件 -days 有效期（天）-nodes

建立证书：OPENSSL ca -config 配置文件 -in 请求文件 -out /dev/null -notext -days 有效期 -passin pass:CA密码 -batch -extensions 配置文件中的段

建立der格式证书：OPENSSL -x509 -in 用户证书（上一步生成的证书，在配置文

件中指定了） -out 输出der证书 -inform PEM -outform DER

建立pfx格式证书：RANDFILE=random文件路径 OPENSSL pkcs12 -export -in 用户证书 -inkey 用户密钥 -certfile CApem证书文件 -caname CA组织名称 -out 输出pfx文件 -name commonname -passout pass:

以上为我在应用中使用到的命令，提供出来供大家参考。

服务器证书与用户证书为平级关系，只是配置文件不同，配置证书的配置文件在网上很多，这里就不赘述。

openssl 的一些参数：

openssl dhparam [-inform DER|PEM] [-outform DER|PEM] [-in filename]

[-out filename] [-dsaparam] [-noout] [-text] [-C] [-2] [-5]

[-rand file(s)] [numbits]

-inform DER|PEM

指定输入的格式是DEM还是DER. DER格式采用ASN1的DER标准格式。一般用

的多的都是PEM格式，就是base编码格式.你去看看你做出来的那些.key, .crt文件一般都是PEM格式的，第一行和最后一行指明内容，中间就是经过编码的东西。

-outform DER|PEM

和上一个差不多，不同的是指定输出格式

-in filename

要分析的文件名称。

-out filename

要输出的文件名。

-dsaparam

如果本option被set, 那么无论输入还是输入都会当做DSA的参数。它们再被转化成DH的参数格式。这样子产生DH参数和DH key都会块很多。会使SSL握手的时间缩短。当然时间是以安全性做牺牲的，所以如果这样子最好每次使用不同的参数，以免给人K破你的key.

-2, -5

使用哪个版本的DH参数产生器。版本2是缺省的。如果这俩个option有一个被set, 那么将忽略输入文件。

-rand file(s)

产生key的时候用过seed的文件，可以把多个文件用冒号分开一起做seed.

numbits

指明产生的参数的长度。必须是本指令的最后一个参数。如果没有指明，则产生512bit长的参数。

-noout

不打印参数编码的版本信息。

-text

将DH参数以可读方式打印出来。

-C

将参数转换成C代码方式。这样可以用get_dhnumbits()函数调用这些参数。

openssl还有俩个指令， dh, gendh, 现在都过时了，全部功能由dhparam实现。

现在dh, gendh这俩个指令还保留，但在将来可能会用做其他用途。

本文将介绍如何利用Tomcat的HTTPS功能，和一个自己创建的CA，来构建WEB服务器证书和个人数字证书，最终建成一个HTTPS双向认证环境（可以用于测试目的）。本文构建HTTPS双向认证的业务流程大致如下：

1. 创建WEB服务器公钥密钥，并生成服务器证书请求。

2. 利用自建的CA，根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。

3. 利用openssl生成客户端（IE）使用的个人数字证书，也由同样的CA签发个人证书。

4. 将个人数字证书（PKCS12格式，包含密钥）导入到浏览器（IE/Firefox）后，就可以进行HTTPS测试了。

一. 选择HTTPS WEB服务器

这里我们选择了Tomcat。当然还有其它方法，如Apache+Tomcat，让Apache配置成HTTPS模式，而Tomcat只做HTTP业务处理，这样有利于提高性能，但本文只建造一个简单的HTTPS测试环境，只用Tomcat自带的HTTPS功能。（当然，我以后会考虑

研究一下Apache+Tomcat模式，到时再和大家一起分享经验）

二. 创建一个自己的CA

创建一个自己的CA来模拟HTTPS构建环境（利用CA签发证书），不仅有利于了解PKI概念，而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用CA我已在本博客发文，题目为《利用openssl创建一个简单的CA》，请参考http://blog.csdn.net/jasonhwang/archive/2008/04/26/23295.aspx 这里就不再重述了。

另外，如果你真的觉得建一个CA比较麻烦，且只使用几个个人数字证书的话，当然也可以不建CA，下面章节也会提到不用CA如何构建双向认证。

三. 创建服务器公钥密钥及颁发服务器证书

实际上有两种方法生成服务器证书，一种是用JDK带的keytool，另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种，因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥，便于用wireshark（ethereal的新名字）查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥，但还要编程去弄，太麻烦了。

方法一，用keytool创建服务器公钥密钥并用CA签发服务器证书：

keytool是JDK自带的工具程序，确保keytool已在PATH路径里（或在以下命令里指明keytool的全路径，如$JAVA_HOME/bin/keytool）。

1. 用keytool生成服务器公钥密钥：

在TOMCAT的conf目录里执行以下命令（假设conf目录路径为$TOMCAT_HOME/conf/）：

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname \"CN=servername, OU=servers, O=ABCom\"

注：其中DN（证书的唯一取别名）里的CN最好是服务器的域名地址或IP地址（因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时，会报一个警告，不过这个问题不大）。

2. 生成服务器证书请求，并让测试CA签发服务器证书

实际上本步骤也可以省略，唯一不好的结果是用户在开始访问服务器HTTPS服务时，会跳一个窗口警告用户，用户可以在该窗口里看到服务器证书是一个自签名的证书（用服务器私钥自己给自己签发的证书，keytool生成公钥密钥时自动生成这种证书）。但只要用户选择“信任该证书”，也照样可以与服务器建立HTTPS连接。

但正规的HTTPS服务器，还是应该申请一个服务器证书比较好。

2.1 生成服务器证书请求：

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem

以下命令可以查看一下证书请求的内容：

openssl req -in serverreq.pem -text -noout

2.2 用测试CA签署服务器证书：

把serverreq.pem拷贝到CA的某目录下，我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了：

openssl ca -in serverreq.pem -out servercert.pem -config

\"$HOME/testca/conf/testca.conf\"

执行过程中需要输入CA私钥的保护密码。

2.3 把服务器证书导回到服务器的keystore里：

前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书（$HOME/testca/cacert.pem）拿来，一起放到Tomcat的conf目录里。

另外导入前，还有一个工作需要做，需要手工编辑servercert.pem证书文件，把‘-----BEGIN CERTIFICATE-----’该行前的所有内容都删掉，因为keytool不认得这些说明性的内容。

导入前也可以执行命令查看一下证书内容：

keytool -printcert -file servercert.pem

导入服务器证书：

先导入CA的证书：

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem

再导入服务器证书：

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem

导入后可以用以下命令查看一下keystore里的内容：

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v

3. 创建服务器信任的客户端CA证书库：

用keytool创建一个证书库，里面存放服务器信任的CA证书，也就是只有这些CA签发的客户端个人证书才被服务器信任，才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注：如果只是测试目的，为了简单期间，也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。

这里，我们假设客户端个人证书（后续章节介绍如何生成客户端个人证书）也是由测

试CA签发的，所以我们要把cacert.pem证书导入信任证书库：

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem

可以用以下命令查看信任证书库内容：

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v

4. 配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：

修改tomcat的conf目录里的server.xml文件

（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下：

maxThreads=\"150\" minSpareThreads=\"25\" maxSpareThreads=\"75\"

enableLookups=\"false\" disableUploadTimeout=\"true\"

acceptCount=\"100\" debug=\"0\" scheme=\"https\" secure=\"true\"

clientAuth=\"true\" sslProtocol=\"TLS\"

keystoreFile=\"conf/tomcat.jks\" keystorePass=\"222222\"

keystoreType=\"JKS\"

truststoreFile=\"conf/truststore.jks\" truststorePass=\"222222\"

truststoreType=\"JKS\" />

（题外话：其实HTTPS单向和双向认证配置的唯一区别是，把clientAuth改为false，去掉truststore的相关配置，就是单向HTTPS认证了，单向HTTPS用的可能更多，它主要在浏览器与f服务器交互的HTTP需要加密，而不需要验证客户端证书时使用。）

经以上配置后，重启tomcat，服务器就支持HTTPS双向认证了。

方法二，用openssl创建服务器公钥密钥并用CA签发服务器证书：

前面已经提到过，这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。

其实，这种方法与《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法很类似（请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节）。

1. 制作服务器证书（最终形成一个pkcs12文件，包含服务器密钥、证书和CA的证书）

假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里：

mkdir -p \"$HOME/testca/test/server\"

cd \"$HOME/testca/test/server\"

2.1 创建服务器公钥密钥，并同时生成一个服务器证书请求：

openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem -outform PEM \\

-subj \"/O=ABCom/OU=servers/CN=servername\"

执行命令过程中输入密钥保护密码222222。

执行后可以用以下命令查看请求内容：

openssl req -in serverreq.pem -text -noout

2.2 用测试CA签署服务器证书：

把serverreq.pem拷贝到CA的某目录下，我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了：

openssl ca -in serverreq.pem -out servercert.pem -config

\"$HOME/testca/conf/testca.conf\"

执行过程中需要输入CA私钥的保护密码。

执行完后可以用以下命令查看证书内容：

openssl x509 -in servercert.pem -text -noout

导入信任的CA根证书到Java的默认位置

keytool -import -v -trustcacerts -storepass changeit -alias root_aisce -file c:\\root\\ca-cert.pem -keystore %JAVA_HOME%\\jre\\lib\\security\\cacerts

2.3 制作服务器pkcs12文件（包含服务器密钥、证书和CA的证书）

openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem \\

-out tomcat.p12 -name tomcat -CAfile

\"$HOME/testca/cacert.pem\" \\

-caname root -chain

执行过程中要输入服务器密钥的保护密码（serverkey.pem）和新生成的tomcat.p12的保护密码，我们都输入222222。

创建完成后，把pkcs12文件拷贝到tomcat的conf目录下。

3. 创建服务器信任的客户端CA证书库：

同方法一的对应章节，这里，我们假设客户端个人证书（后续章节介绍如何生成客户端个人证书）也是由测试CA签发的，所以我们要把cacert.pem证书导入信任证书库：

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem可以用以下命令查看信任证书库内容：

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v

4. 配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：

修改tomcat的conf目录里的server.xml文件

（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下：

maxThreads=\"150\" minSpareThreads=\"25\" maxSpareThreads=\"75\"

enableLookups=\"false\" disableUploadTimeout=\"true\"

acceptCount=\"100\" debug=\"0\" scheme=\"https\" secure=\"true\"

clientAuth=\"true\" sslProtocol=\"TLS\"

keystoreFile=\"conf/tomcat.p12\" keystorePass=\"222222\"

keystoreType=\"PKCS12\"

truststoreFile=\"conf/truststore.jks\" truststorePass=\"222222\"

truststoreType=\"JKS\" />

注意：其中keystore的keystoreType与方法一的配置不同。经以上配置后，重启tomcat，服务器就支持HTTPS双向认证了。

四. 创建用于客户端（浏览器）测试的个人数字证书（pkcs12格式）

完全按照《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法来进行，请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节。

1. 创建个人密钥和证书请求（证书请求里包含了公钥）

创建$HOME/testuser1目录并执行命令：（证书等都放到这个目录）

mkdir $HOME/testuser1

cd $HOME/testuser1

openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj \"/O=TestCom/OU=TestOU/CN=testuser1\"

执行过程中需要输入私钥的保护密码，假设我们输入密码： 222222

执行完后，testkey.pem即为用户的密钥，而testreq.pem即为证书请求。

可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。

2. 用CA为testuser1签发个人证书

同样还在$HOME/testuser1目录下执行命令：

openssl ca -in testreq.pem -out testcert.pem -config

\"$HOME/testca/conf/testca.conf\"

执行过程中需要输入CA的密钥保护密码（刚才设置的888888），并且最后询问你是否要给该用户签发证书时要选y。

执行完后，testcert.pem即为证书，

可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。

3. 制作PKCS12文件（个人数字证书）

我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。

把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令：

openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile \"$HOME/testca/cacert.pem\"

执行过程中需要输入保护密钥的密码（222222），以及新的保护pkcs12文件的密码（222222）。

执行完后，若要查看testuser1.p12的内容可以用命令openssl pkcs12 -in testuser1.p12

该testuser1.p12即为pkcs12文件。你可以直接拷贝到windows下，作为个人数字证书，双击导入IE后就可以使用了。

五. 用一个简单webapp来测试HTTPS

服务器证书和个人证书都准备好了，我们可以写一个简单的webapp，里面只有一个jsp，用于查看https客户端验证是否起效了。

1. 创建webapp用于测试https：

在$TOMCAT_HOME/webapps/里创建一个目录testhttps，并在testhttps目录里创建WEB-INF目录，并在该目录里创建web.xml文件如下：

文件：$TOMCAT_HOME/webapps/WEB-INF/web.xml

xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\"

xsi:schemaLocation=\"http://java.sun.com/xml/ns/j2eehttp://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd\"

version=\"2.4\">

Test HTTPS App

2. 创建一个显示客户端证书信息的JSP：

在testhttps目录创建文件seecert.jsp

文件：$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp

<%@ page import=\"java.security.cert.X509Certificate\"

contentType=\"text/html; charset=GB2312\" %>

<%
java.security.cert.X509Certificate[] certs=null;
try{
certs=(X509Certificate[])request.getAttribute(\"javax.servlet.request.X509Certificate\");
if (certs == null) {
out.println(\"No certificates\");
} else if (certs.length == 0) {
out.println(\"Certificates length is 0\");
} else {
java.security.cert.X509Certificate cert = certs[0];
String dn = cert.getSubjectX500Principal().toString();
out.println(\"SubjectDN: \" + dn);
out.println();
detail--------------------\");
out.println(\"------------------certification
out.println(cert);
out.println(\"----------------------------------------------------------\");
}
} catch(Exception e){
out.println(\"Exception=\" + e.getMessage());
}
%>

3. 测试HTTPS并查看客户端证书信息：

访问URL：https://:8443/testhttps/seecert.jsp

在用浏览器访问该URL时，浏览器可能会跳出窗口让你选择用哪个客户端个人证书。

页面打开后，你将看到客户端证书的信息。

六. 使用wireshark（ethereal的新名称）查看HTTPS里加密的HTTP消息：

用wireshark抓包后，你可以看到HTTPS服务器与浏览器之间的HTTPS协商过程，但是HTTPS成功建立后，后续消息是加密的，如何查看加密的HTTP消息呢？你需要借助服务器的密钥（私钥）明文。

假设需要从上面提到的openssl生成的服务器证书tomcat.p12文件里导出密钥明文，生成密钥明文文件方法：

openssl pkcs12 -in tomcat.p12 -out clearserverkey.pem -nodes

然后在wireshark的协议定义里找到SSL，并在“RSA keys list”里配置如下内容：

,8443,http,

其中：

——为HTTPS服务器的IP；

8443——为HTTPS（SSL）的端口；

http——表示SSL里加密的是HTTP协议；

——指上一步生成的clearserverkey.pem文件的本地路径。

这样，你就能看到wireshark里的SSL协议被解密，且里面的HTTP消息也看到了

服务器端机器名 SSOSERVER

http://www.iteye.com/problems/4072

http://www.blogjava.net/alwayscy/archive/2006/12/01/84852.html

http://lengjing.iteye.com/blog/12582 // java操作数字证书