�ݺ�ߣ

Nhóm 14
CÀI ĐẶT VÀ CẤU HÌNH CHỨNG THƯ SỐ CHO WEBSERVER APACHE SỬ
DỤNG JAVA KEYTOOLS HỆ ĐIỀU HÀNH WINDOWS
Sinh viên thực hiện:
Đặng Thị Ly – AT170333
Nguyễn Thị Nga – AT170536
Đỗ Thị Hồng – AT170322
Giảng viên giảng dạy:
Thầy Lê Quang Huy

Đặt vấn đề
- Việc bảo vệ các kết nối web là một thách thức lớn  Chứng thư số là một
giải pháp hiệu quả để đảm bảo an toàn và xác thực danh tính trên mạng
- Java KeyTools giúp tạo, quản lý và triển khai chứng thư số: tạo keystore, yêu
cầu chứng chỉ từ CA, …
- Cài đặt và cấu hình chứng thư số cho Apache không chỉ bảo vệ dữ liệu mà
còn tăng cường độ tin cậy của trang web

Nội dung
Chương 1: Tổng quan về hạ tầng PKI và chứng thư số
Chương 2: Công nghệ Java Keytool và ứng dụng trong cấu hình
chứng thư số Apache Tomcat
Chương 3: Thực nghiệm cài đặt hạ tầng PKI bằng công cụ java
keytools và sử dụng chứng thư số cho Apache Tomcat Server

Chương 1: Tổng quan về hạ tầng PKI và chứng thư số

1.1. PKI - Hạ tầng mật mã khóa công khai
- PKI:
+ Thường chỉ toàn bộ hệ thống bao gồm
cả nhà cung cấp chứng thực số và các
cơ chế liên quan, cùng với việc sử dụng
các thuật toán mã hoá công khai trong
trao đổi thông tin
+ Mục tiêu chính của PKI:
Cung cấp các dịch vụ nhằm đảm bảo an
toàn cho các giao dịch điện tử.
Mô hình tổng thể của một hệ thống PKI

1.2. Chứng thư số
- Khái niệm:
Chứng thư số là một phương tiện thông qua nó tổ chức
chứng thực chứng nhận một cặp khoá thuộc về một chủ
thể
- Bản chất:
Cấu trúc dữ liệu gắn các thông tin xác thực chủ thể với một
khoá công khai và được ký bởi cơ quan phát hành (Tổ
chức chứng thực)
- Đặc điểm:
• Bảo vệ tính toàn vẹn
• Xác thực cặp khoá, chống chối bỏ

Chương 2: Công nghệ Java Keytool và ứng dụng trong cấu
hình chứng thư số Apache Tomcat

2.1. Java keytools
Java keytool
+ một công cụ dòng lệnh đi kèm với bộ công
cụ phát triển Java (JDK).
+ được sử dụng để tạo, quản lý và thao tác
với các chứng thư số trong Java keystore.
+ Với Java keytool, người dùng có thể tạo các
cặp khóa, yêu cầu chứng thư số từ cơ quan
chứng nhận (CA), nhập và xuất chứng thư số,
và quản lý keystore một cách hiệu quả.

Cách sử dụng java keytool
* Tạo Khóa
Java KeyTool cho phép tạo các cặp khóa công khai và khóa riêng sử dụng các thuật toán mật mã như RSA và EC.
keytool -genkeypair -alias mykey -keyalg RSA -keysize 2048 -keystore mykeystore.jks -validity 365
* Tạo yêu cầu Chứng thư số (CSR)
Công cụ này có thể tạo các yêu cầu chứng chỉ số, được sử dụng để gửi tới CA (Certificate Authority) để được ký và
cấp chứng chỉ số.
keytool -certreq -alias mykey -file myrequest.csr -keystore mykeystore.jks
* Import Chứng Chỉ Số
Sau khi nhận được chứng chỉ số từ CA, bạn có thể sử dụng Java KeyTool để import chứng chỉ vào keystore.
keytool -importcert -file mycert.crt -keystore mykeystore.jks -alias mykey
* Export Chứng Chỉ Số
Java KeyTool cho phép xuất chứng chỉ từ keystore để chia sẻ hoặc sử dụng ở nơi khác.
keytool -exportcert -alias mykey -file mycert.crt -keystore mykeystore.jks
* Hiển Thị Thông Tin Keystore
Bạn có thể xem thông tin chi tiết về các mục trong keystore.
keytool -list -keystore mykeystore.jks

2.2. Chứng thư số cho Apache Tomcat
Cần dùng chứng chỉ SSL cho Apache Tomcat
Server vì:
+ Tạo ra một môi trường an toàn để truyền tải
thông tin, giúp ngăn chặn các cuộc tấn công và
đảm bảo rằng dữ liệu được bảo mật.
+ Tăng độ tin cậy của người dùng: Một trang
web sử dụng HTTPS thường được người dùng
tin cậy hơn so với trang web chỉ sử dụng
HTTP. + Biểu tượng ổ khóa trên thanh địa chỉ
của trình duyệt là dấu hiệu rõ ràng cho người
dùng thấy rằng kết nối của họ an toàn.

Chương 3: Thực nghiệm cài đặt hạ tầng PKI bằng công cụ
java keytools và sử dụng chứng thư số cho Apache Tomcat
Server

Mô hình:
Gồm RootCA, SubCA và Apache Tomcat Server

Phần 1: Sử dụng công cụ Java KeyTools để tạo và quản lý
chứng thư số.

1. Tạo keystore cho RootCA với cặp khóa RSA 4096 bit
keytool -genkeypair -alias rootca -keyalg RSA -keysize 4096 -dname "CN=RootCA,
OU=LopAT17, O=KMA, emailaddress=rootca@actvn.edu.vn, street=ChienThang,
L=ThanhXuan, ST=HaNoi, C=VN" -keystore rootca.jks -validity 3650

2. Export chứng thư số của RootCA
keytool -exportcert -alias rootca -file rootca.crt -keystore rootca.jks

3. Tạo keystore cho SubCA với cặp khóa EC 384 bit
keytool -genkeypair -alias subca -keyalg EC -groupname secp384r1 -dname "CN=SubCA,
OU=LopAT17, O=KMA, emailaddress=subca@actvn.edu.vn, street=ChienThang,
L=ThanhXuan, ST=HaNoi, C=VN" -keystore subca.jks -validity 3650

4. Tạo yêu cầu ký chứng chỉ (CSR) cho kho khóa của SubCA
keytool -certreq -alias subca -file subca.csr -keystore subca.jks

5. Tạo crt cho SubCA bằng cách ký chứng chỉ SubCA bằng RootCA
keytool -gencert -infile subca.csr -outfile subca.crt -keystore rootca.jks -alias rootca

6. Import chứng chỉ RootCA vào keystore của SubCA
keytool -importcert -file rootca.crt -keystore subca.jks -alias rootca

7. Import chứng chỉ SubCA vào keystore của SubCA
keytool -importcert -file subca.crt -keystore subca.jks -alias subca

8. Tạo keystore cho Webserver với cặp khóa RSA 2048 bit
keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -dname "CN=tomcat,
OU=LopAT17, O=KMA, emailaddress=tomcat@actvn.edu.vn, street=ChienThang,
L=ThanhXuan, ST=HaNoi, C=VN" -keystore tomcat.jks -validity 3650

9. Tạo yêu cầu ký chứng chỉ (CSR) cho kho khóa của Webserver
keytool -certreq -alias tomcat -file tomcat.csr -keystore tomcat.jks

10. Tạo crt cho Webserver bằng cách ký chứng chỉ Webserver bằng SubCA
keytool -gencert -infile tomcat.csr -outfile tomcat.crt -keystore subca.jks -alias subca

11. Import chứng thư số của RootCA vào keystore của Webserver
keytool -importcert -file rootca.crt -keystore tomcat.jks -alias rootca

12. Import chứng thư số của SubCA vào keystore của Webserver
keytool -importcert -file subca.crt -keystore tomcat.jks -alias subca

13. Import chứng thư số của Webserver vào keystore của Webserver
keytool -importcert -file tomcat.crt -keystore tomcat.jks -alias tomcat

14. Tạo keystore cho Client với cặp khóa RSA 2048 bit
keytool -genkeypair -alias client -keyalg RSA -keysize 2048 -dname "CN=client,
OU=LopAT17, O=KMA, emailaddress=client@actvn.edu.vn, street=ChienThang,
L=ThanhXuan, ST=HaNoi, C=VN" -keystore client.jks -validity 3650

15. Tạo yêu cầu ký chứng chỉ (CSR) cho kho khóa của Client
keytool -certreq -alias client -file client.csr -keystore client.jks

16. Tạo crt cho Client bằng cách ký chứng chỉ Client bằng SubCA
keytool -gencert -infile client.csr -outfile client.crt -keystore subca.jks -alias subca

17. Import chứng thư số của Client vào keystore của Webserver
keytool -importcert -file client.crt -keystore tomcat.jks -alias client

18. Xuất chứng chỉ của Webserver dưới dạng file PKCS#12 (*.p12)
keytool -importkeystore -srckeystore tomcat.jks -destkeystore tomcat.p12 -
deststoretype PKCS12 -srcalias tomcat

Phần 2: Sử dụng chứng thư số để cấu hình Apache Tomcat
Server sử dụng SSL và xác thực 2 chiều

1. Cấu hình Tomcat để sử dụng SSL
Mở file cấu hình server.xml của Apache Tomcat và thêm hoặc chỉnh sửa
đoạn sau để sử dụng chứng chỉ SSL đã tạo:

2. Sau đó ta có thể truy cập apache tomcat qua https

3. Xem chứng thư số của Tomcat

4. Cấu hình xác thực hai chiều trên Apache Tomcat
Thêm vào cấu hình server.xml để yêu cầu xác thực client:

5. Hoàn tất cài đặt
Sau khi cấu hình xong, khởi động lại webserver và truy cập trang web từ
trình duyệt với chứng chỉ client đã được cài đặt. Trình duyệt sẽ gửi chứng
chỉ client tới webserver và webserver sẽ xác thực dựa trên chứng chỉ đó.

Tổng kết
Báo cáo này đã trình bày chi tiết các bước sử dụng công cụ CA Java KeyTools
để tạo và quản lý chứng thư số trên máy Windows.
Đồng thời, hướng dẫn cấu hình chứng thư số SSL và thiết lập xác thực hai
chiều cho webserver Apache Tomcat, cũng như cài đặt chứng thư số cho người
dùng trong các trình duyệt web.
Qua đó, giúp đảm bảo an toàn thông tin và xác thực danh tính trong các giao
dịch trực tuyến.

�ݺ�ߣ

java keytool and apache tomcat use ssl/tls

Recommended

More Related Content

Similar to java keytool and apache tomcat use ssl/tls (20)

java keytool and apache tomcat use ssl/tls