1:什麼是HTTPS?
HTTPS其實是有兩部分組成:HTTP + SSL / TLS,
也就是在HTTP上又加了一層處理加密信息的模塊,並且會進行身份的驗證。
問題:
Firebug和postman之類的瀏覽器調試工具,爲什麼獲取到的是明文?
解答:
SSL是對傳輸的數據進行加密,針對的是傳輸過程的安全。
firebug之類的瀏覽器調試工具,
因爲他們得到的是客戶端加密之前/解密之後的數據,因此是明文的。
2:什麼是自簽名證書?
就是自己生成的證書,並不是官方生成的證書。
除非是很正式的項目,否則使用自己簽發的證書即可,因爲官方生成證書是要花錢滴。
3:進入正題,使用JDK自帶工具KeyTool 生成自簽發證書!
第一步:爲服務器生成證書
打開CMD命令行工具,cd到C盤根目錄或者是jdk的bin目錄下,如下圖所示:
使用keytool命令生成證書:
keytool
-genkey
-alias tomcat(別名)
-keypass 123456(別名密碼)
-keyalg RSA(算法)
-keysize 1024(密鑰長度)
-validity 365(有效期,天單位)
-keystore D:/keys/tomcat.keystore(指定生成證書的位置和證書名稱)
-storepass 123456(獲取keystore信息的密碼)
方便複製版:
keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456
圖例:
回車執行後如下圖:
點擊回車即可在D:/keys/文件夾內生成名爲:tomcat.keystore的文件。
成功後無提示信息
注意:
①D:/keys/ 目錄需要提前手動創建好,否則會生成失敗
②提示輸入域名的時候不能輸入IP地址
問題①的錯誤信息如下:
第二步:爲客戶端生成證書
爲瀏覽器生成證書,以便讓服務器來驗證它。
爲了能將證書順利導入至IE和Firefox,證書格式應該是PKCS12,
因此,使用如下命令生成:
keytool
-genkey
-alias client
-keypass 123456
-keyalg RSA
-storetype PKCS12
-keypass 123456
-storepass 123456
-keystore D:/keys/client.p12
方便複製版:
keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456
圖例:
第二步餘下操作步驟同第一步。
第三步:讓服務器信任客戶端證書
1、
由於不能直接將PKCS12格式的證書庫導入,
必須先把客戶端證書導出爲一個單獨的CER文件,使用如下命令:
keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
注意:
Keypass:指定CER文件的密碼,但會被忽略,而要求重新輸入
2、
將該文件導入到服務器的證書庫,添加爲一個信任證書:
keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor
e -storepass 123456
圖例:
完成之後通過list命令查看服務器的證書庫,
可以看到兩個證書,一個是服務器證書,一個是受信任的客戶端證書:
keytool -list -v -keystore D:/keys/tomcat.keystore
第四步:讓客戶端信任服務器證書
1、
由於是雙向SSL認證,客戶端也要驗證服務器證書,
因此,必須把服務器證書添加到瀏覽器的“受信任的根證書頒發機構”。
由於不能直接將keystore格式的證書庫導入,
必須先把服務器證書導出爲一個單獨的CER文件,使用如下命令:
keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat6 -file D:/keys/server.cer
2、
雙擊server.cer文件,按照提示安裝證書,
將證書填入到“受信任的根證書頒發機構”。
填入方法:
打開瀏覽器 - 工具 - internet選項-內容- 證書-把中級證書頒發機構裏的www.localhost.com(該名稱即時你前面生成證書時填寫的名字與姓氏)證書導出來-再把導出來的證書導入 受信任的根頒發機構 就OK了。
第五步:配置Tomcat服務器
<Connector port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="true"
sslProtocol="TLS"
keystoreFile="D:/keys/tomcat.keystore"
keystorePass="123456"
truststoreFile="D:/keys/tomcat.keystore"
truststorePass="123456" />
屬性說明:
clientAuth:設置是否雙向驗證,默認爲false,設置爲true代表雙向驗證
keystoreFile:服務器證書文件路徑
keystorePass:服務器證書密碼
truststoreFile:用來驗證客戶端證書的根證書,此例中就是服務器證書
truststorePass:根證書密碼
注意:
① 設置clientAuth屬性爲True時,需要手動導入客戶端證書才能訪問。
② 要訪問https請求 需要訪問8443端口,訪問http請求則訪問Tomcat默認端口(你自己設置的端口,默認8080)即可。
總結:
經過以上五步,你使用HTTPS 端口爲8443 進行訪問的時候 就是經過SSL信息加密,不怕被截獲了。
通話的雙方,必須是都擁有證書的端,才能進行會話,換句話說,就是隻有安裝了咱證書的客戶端,才能與服務器通信。
小貼士:
強制 https 訪問
在 tomcat /conf/web.xml 中的 </welcome- file-list> 後面加上這
- <login-config>
- <!-- Authorization setting for SSL -->
- <auth-method>CLIENT-CERT</auth-method>
- <realm-name>Client Cert Users-only Area</realm-name>
- </login-config>
- <security-constraint>
- <!-- Authorization setting for SSL -->
- <web-resource-collection >
- <web-resource-name >SSL</web-resource-name>
- <url-pattern>/*</url-pattern>
- </web-resource-collection>
- <user-data-constraint>
- <transport-guarantee>CONFIDENTIAL</transport-guarantee>
- </user-data-constraint>
- </security-constraint>
完成以上步驟後,在瀏覽器中輸入http的訪問地址也會自動轉換爲https了。