A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

前言
  • 苹果宣布2017App Store中的所有应用都必须使用HTTPS加密连接
  • 百度、Google等搜索引擎优先收录HTTPS页面并提升排名
  • 百度、阿里巴巴等互联网巨头均启用全站HTTPS加密
  • 新一代HTTP/2协议的支持需以HTTPS为基础
. HTTP 回顾
Http(Hypertexttransfer protocol):超文本传输协议,约定了浏览器和万维网服务器之间通信的规则,通信规则规定了客户端发送给服务器的内容格式,也规定了服务器发送给客户端的内容格式。客户端发送给服务器的格式叫“请求协议”;服务器发送给客户端的格式叫“响应协议”。目前我们使用的是HTTP 1.1。
. HTTPS 概要2.0. https现象
绝大多数网站采用Http协议,但是越来越多的网站开始使用Https协议,如:百度,淘宝,京东...
2.1. https由来
        Http在安全上有一定的缺陷:
    1)   明文传送
    2)   消息完整性检测的不足
   这种安全缺陷很容易被利用以获取个人信息,如手机号、身份信息、信用卡号等。尤其是当下网上交易、支付等已经变得如此普遍。
2.2. https简介
  Https(Hyper TextTransfer Protocol over Secure Socket Layer):网景Netscape公司提出,HTTPS是在TCP和HTTP之间增加了保障数据通信安全性的SSL(Secure Sockets Layer) 协议,现在SSL已经被新的TLS(TransportLayer Security)取代。
总结:Https  =  Http +  SSL/TLS
总结:HTTP协议是基于TCP/IP协议的,有时也承载于TLS/SSL协议之上,这个时候,就成了我们的HTTPS。
注意:HTTP的默认端口号为80,HTTPS的默认端口号为443。
2.3. https需要解决的问题
Ø  身份验证
l  确保通信双方身份的真实性。直白一些,A希望与B通信,A如何确认B的身份不是由C伪造的。
Ø  通信加密
l  通信的机密性、完整性依赖于算法与密钥,通信双方是如何选择算法与密钥的。
. HTTPS 核心3.0. 基本概念
Ø  数字证书
l  数字证书是互联网通信中标识双方身份信息的数字文件,由CA签发。
Ø  CA
l  CA(certification authority)是数字证书的签发机构。作为权威机构,其审核申请者身份后签发数字证书,这样我们只需要校验数字证书即可确定对方的真实身份。
附:如何查看一个网站的数字证书(前提是该网站使用HTTPS协议!!!)
3.1. SSL协议加密方式
SSL协议既用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL对传输内容使用对称加密。
    Ø  对称加密
    l  速度高,可加密内容较大,用来加密会话过程中的消息
    Ø  非对称加密
    l  加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥
3.2. 认证方式
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址
  如何选择认证方式:
  u  如果只是加密,单向就行
  u  如果想要让使用系统的人没有客户端证书就访问不了系统的话,就采用双向
3.2.1 单向认证流程
3.2.2 双向认证流程
3.2.3 单向认证与双向认证区别
1)        服务器端多了一个校验客户端证书的步骤
2)        服务器端将决定的加密方式通过客户端公钥进行加密,返回给客户端
. HTTPS配置(以单向认证为例)4.1. 生成SSL证书4.1.1 常见的密钥和证书管理工具
  • OpenSSHssh –keygen
  • OpenSSL
  • Keytool
4.1.2 keytool简介
Oracle公司提供的证书制作工具,在JDK1.4以后的版本都包含了这一工具,它的位置:<JAVA_HOME>\bin\keytool.exe
keytool命令:
4.1.3 生成keystore文件
1.进入 DOS 命令行,具体如下:开始->运行->cmd->cd 到安装jdk的目录
2.使用keytool命令生成keystore文件
keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore[keystore_name]-keysize 2048
例:
keytool -genkey -v-alias tomcat -keyalg RSA -keystore D:\certificate_list\tomcat.keystore -keysize2048 -validity 36500
参数说明:
-alias                指定keystore文件的文件名
-keyalg            指定算法
-keystore         指定keystore文件的保存位置
-keysize           指定私钥的位数
-validity           指定证书有效期,36500表示100年,默认值是90
假定目标机器的域名是“localhost
A、 输入keystore密码:
l  此处需要输入大于6个字符的字符串,我们指定keystore的密码为:123456,该密码必须牢记!!!缺省密码为:changeit。
B、 您的名字与姓氏是什么?
l  这是必填项,并且必须是tomcat部署主机的域名或者IP(就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。
C、 您的组织单位名称是什么?
l  可以不填,也可以填其他英文或者中文
D、 您的组织名称是什么?
l  可以不填,也可以填其他英文或者中文
l  必须与证明文件上的名称一致(目前我们自己制作证书,所以没有关系)
E、 您所在城市或区域名称是什么?
l  可以不填,也可以填其他英文或者中文
F、 您所在的州或者省份名称是什么?
l  可以不填,也可以填其他英文或者中文
G、 该单位的两字母国家代码是什么?
a)        中国填:CN,其他国家填其缩写
H、 在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息。
D、 输入<tomcat>的主密码
l  这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以,完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件。
生成keystore文件如下:
4.1.4 生成安全证书
keytool -export -alias tomcat -file D:/certificate_list/tomcat.cer-keystore D:\certificate_list\tomcat.keystore -validity 36500
注意:安全证书是由keystore文件生成的,所以命令中的-alias-keystore与上面的keysore文件是对应的
执行该命令,会提示让你输入keystore密码:
生成cer文件如下:
4.2. 安装安全证书
双击生成的cer后缀的安全证书,一般情况下证书会自动导入到浏览器的受信任证书列表,但是有可能出现安装失败的情况,如果出现这种情况,需要手动导入证书。
4.2.1 自动安装
4.2.2 手动导入(以谷歌浏览器为例)
打开设置
点击显示高级设置
找到HTTPS/SSL,点击管理证书,点到受信任的根证书颁发机构,点击导入
注意:由于我们只是生成自签名的https证书,所以证书是需要被我们安装到需要访问服务器资源的客户端的,如果需要申请CA证书,就需要生成CSR文件,并将此文件提交给相应CA机构申请CA证书。
4.2.3 CA 中心和 SSL 数字证书提供商(排名不分先后)
Verisign
GlobalSign        https://cn.globalsign.com/      使用该机构证书网站:百度,淘宝,京东
Symantec          https://www.symantec.com/zh/cn                   使用该机构证书网站:苹果
GeoTrust           https://www.geotrust.com/   
证书属于收费服务,所以我们才需要自己制作证书,当然,也有提供免费证书服务的机构:
Let's Encrypt    https://letsencrypt.org/
Startssl             https://www.startcomca.com/      
在一些云平台,如阿里云,腾讯云上均会提供相应的证书购买服务,如阿里云:
4.3. 配置应用程序4.3.1 配置tomcat
Eclipse中配置一个tomcat,打开Servers项目中的server.xml
找到下面这段注释:
<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connectoruses the JSSE configuration, when using APR, the
         connector shouldbe using the OpenSSL style configuration
         described in the APR documentation-->
在注释下面插入如下代码:
<Connector SSLEnabled="true" clientAuth="false" keystoreFile="D:\certificate_list\tomcat.keystore"keystorePass="123456"maxThreads="150"port="8643"protocol="HTTP/1.1"scheme="https"secure="true"sslProtocol="TLS"/>
解释:
SSLEnabled="true"     使用SSL协议
clientAuth="false"    指定验证方式为单向认证
keystoreFile          指定keystore文件的存放位置
keystorePass          指定keystore的密码
maxThreads="150"      指定最大线程数量
port="8643"           指定端口
protocol="HTTP/1.1"   指定使用协议版本
scheme="https"        使用HTTPS协议
secure="true"         使用安全验证
sslProtocol="TLS"     指定SSL协议
启动tomcat,使用https://localhost:8643访问,页面成功打开,即tomcat下的https配置成功:
4.3.2 设置应用程序http自动跳转到https
在项目的web.xml中插入如下代码
<security-constraint>
    <web-resource-collection>
      <web-resource-name>SSL</web-resource-name>
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
在项目的pom.xml<plugins></plugins>节点中插入如下代码
<plugin>
         <groupId>org.apache.tomcat.maven</groupId>
         <artifactId>tomcat7-maven-plugin</artifactId>
      <configuration>
          <port>8080</port>
          <path>/</path>
          <keystoreFile>D:\home\tomcat.keystore</keystoreFile>
          <keystorePass>123456</keystorePass>
      </configuration>
</plugin>
配置完成,即可通过http去访问项目也可以成功跳转到https




1 个回复

倒序浏览
谢谢楼主分享
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马