A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© 小江哥 黑马粉丝团   /  2017-12-24 10:30  /  1873 人查看  /  0 人回复  /   1 人收藏 转载请遵从CC协议 禁止商业使用本文

本帖最后由 小江哥 于 2017-12-24 10:30 编辑

深入https原理与实践
引言全站HTTPS的时代已经到来:
苹果宣布2017年App Store中的所有应用都必须使用HTTPS加密连接
百度、Google等搜索引擎优先收录HTTPS页面并提升排名
百度、阿里巴巴等互联网巨头均启用全站HTTPS加密
新一代HTTP/2协议的支持需以HTTPS为基础
一. HTTP回顾Http(Hypertexttransfer protocol):超文本传输协议,约定了浏览器和万维网服务器之间通信的规则,通信规则规定了客户端发送给服务器的内容格式,也规定了服务器发送给客户端的内容格式。客户端发送给服务器的格式叫“请求协议”;服务器发送给客户端的格式叫“响应协议”。目前我们使用的是HTTP 1.1。
[url=]补充:HTTP[/url]无状态是什么意思?[url=][M1][/url]
Http协议是一个无状态的协议,同一个客户端的这次请求和上次请求没有关系。

二. HTTPS协议2.0. https现象绝大部分的网站都是采用HTTP协议的

但是我们发现越来越多的网站开始使用Https协议,如:百度,淘宝,京东...

2.1. https由来Http在安全上有一定的缺陷:
1)        明文传送
2)        消息完整性检测的不足
这种安全缺陷很容易被利用以获取个人信息,如手机号、身份信息、信用卡号等。尤其是当下网上交易、支付等已经变得如此普遍。
2.2. https简介Https(Hyper TextTransfer Protocol over Secure Socket Layer):网景Netscape公司提出,HTTPS是在TCP和HTTP之间增加了保障数据通信安全性的SSL(Secure Sockets Layer) 协议,现在SSL已经被新的TLS(TransportLayer Security)取代。
总结:Https  =  Http +  SSL/TLS

总结:HTTP协议是基于TCP/IP协议的,有时也承载于TLS/SSL协议之上,这个时候,就成了我们的HTTPS。
注意:HTTP的默认端口号为80,HTTPS的默认端口号为443。
2.3. https需要解决的问题Ø  身份验证
l  确保通信双方身份的真实性。直白一些,A希望与B通信,A如何确认B的身份不是由C伪造的。(由C伪造B的身份与A通信,称为中间人攻击)
Ø  通信加密
l  通信的机密性、完整性依赖于算法与密钥,通信双方是如何选择算法与密钥的。
三. HTTPS核心3.0. 基本概念Ø  数字证书
l  数字证书是互联网通信中标识双方身份信息的数字文件,由CA签发。
Ø  CA
l  CA(certification authority)是数字证书的签发机构。作为权威机构,其审核申请者身份后签发数字证书,这样我们只需要校验数字证书即可确定对方的真实身份。
附:如何查看一个网站的数字证书(前提是该网站使用HTTPS协议!!!):



3.1. SSL协议加密方式SSL协议既用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL对传输内容使用对称加密。
Ø  对称加密
l  速度高,可加密内容较大,用来加密会话过程中的消息
Ø  非对称加密
l  加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥
3.2. 认证方式1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址
如何选择认证方式:
u  如果只是加密,单向就行
u  如果想要让使用系统的人没有客户端证书就访问不了系统的话,就采用双向
3.2.1 单向认证流程
3.2.2 双向认证流程
3.2.3 单向认证与双向认证区别1)        服务器端多了一个校验客户端证书的步骤
2)        服务器端将决定的加密方式通过客户端公钥进行加密,返回给客户端
四. HTTPS配置(以单向认证为例)4.1. 生成SSL证书4.1.1 常见的密钥和证书管理工具a)        OpenSSH的ssh –keygen
b)        OpenSSL
c)        Keytool
由于OpensSSL曾爆出严重的安全漏洞,而且我们jdk本身也包含了keytool,所以我们使用keytool工具来管理我们的密钥和证书。
4.1.2 keytool简介Oracle公司提供的证书制作工具,在JDK1.4以后的版本都包含了这一工具,它的位置:<JAVA_HOME>\bin\keytool.exe
keytool命令:

4.1.3 生成keystore文件1.进入 DOS 命令行,具体如下:开始->运行->cmd->cd 到安装jdk的目录,这里我是D:\java\jdk7\bin

2.使用keytool命令生成keystore文件
keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore[keystore_name]-keysize 2048
例:
keytool -genkey -v-alias tomcat -keyalg RSA -keystore D:\certificate_list\tomcat.keystore -keysize2048 -validity 36500
参数说明:
-v
-alias                 指定keystore文件的文件名
-keyalg               指定算法
-keystore          指定keystore文件的保存位置
-keysize             指定私钥的位数
-validity             指定证书有效期,36500表示100年,默认值是90天

假定目标机器的域名是“localhost”

A、 输入keystore密码:
l  此处需要输入大于6个字符的字符串,我们指定keystore的密码为:123456,该密码必须牢记!!!缺省密码为:changeit。
B、 您的名字与姓氏是什么?
l  这是必填项,并且必须是tomcat部署主机的域名或者IP(就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。
C、 您的组织单位名称是什么?
l  可以不填,也可以填其他英文或者中文
D、 您的组织名称是什么?
l  可以不填,也可以填其他英文或者中文
l  必须与证明文件上的名称一致(目前我们自己制作证书,所以没有关系)
E、 您所在城市或区域名称是什么?
l  可以不填,也可以填其他英文或者中文
F、 您所在的州或者省份名称是什么?
l  可以不填,也可以填其他英文或者中文
G、 该单位的两字母国家代码是什么?
a)        中国填:CN,其他国家填其缩写
H、 在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息。
D、 输入<tomcat>的主密码
l  这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以,完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件。

生成keystore文件如下:

4.1.4 生成安全证书keytool -export -alias tomcat -file D:/certificate_list/tomcat.cer-keystore D:\certificate_list\tomcat.keystore -validity 36500
注意:安全证书是由keystore文件生成的,所以命令中的-alias-keystore与上面的keysore文件是对应的
执行该命令,会提示让你输入keystore密码:

生成cer文件如下:

4.2. 安装安全证书双击生成的cer后缀的安全证书,一般情况下证书会自动导入到浏览器的受信任证书列表,但是有可能出现安装失败的情况,如果出现这种情况,需要手动导入证书。
4.2.1 自动安装






4.2.2 手动导入(以谷歌浏览器为例)打开设置

点击显示高级设置

找到HTTPS/SSL,点击管理证书,点到受信任的根证书颁发机构,点击导入

注意:由于我们只是生成自签名的https证书,所以证书是需要被我们安装到需要访问服务器资源的客户端的,如果需要申请CA证书,就需要生成CSR文件,并将此文件提交给相应CA机构申请CA证书。
4.2.3 CA 中心和 SSL 数字证书提供商(排名不分先后)Verisign
GlobalSign        https://cn.globalsign.com/      使用该机构证书网站:百度,淘宝,京东
Symantec          https://www.symantec.com/zh/cn                   使用该机构证书网站:苹果
GeoTrust           https://www.geotrust.com/  

证书属于收费服务,所以我们才需要自己制作证书,当然,也有提供免费证书服务的机构:
Let’s Encrypt    https://letsencrypt.org/
Startssl            https://www.startcomca.com/      

在一些云平台,如阿里云,腾讯云上均会提供相应的证书购买服务,如阿里云:

4.3. 配置应用程序4.3.1 配置tomcat在Eclipse中配置一个tomcat,打开Servers项目中的server.xml

找到下面这段注释:
<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connectoruses the JSSE configuration, when using APR, the
         connector shouldbe using the OpenSSL style configuration
         described in the APR documentation-->
在注释下面插入如下代码:
<ConnectorSSLEnabled="true"clientAuth="false"keystoreFile="D:\certificate_list\tomcat.keystore"keystorePass="123456"maxThreads="150"port="8643"protocol="HTTP/1.1"scheme="https"secure="true"sslProtocol="TLS"/>
解释:
SSLEnabled="true"    使用SSL协议
clientAuth="false"   指定验证方式为单向认证
keystoreFile         指定keystore文件的存放位置
keystorePass         指定keystore的密码
maxThreads="150"     指定最大线程数量
port="8643"          指定端口
protocol="HTTP/1.1"     指定使用协议版本
scheme="https"       使用HTTPS协议
secure="true"        使用安全验证
sslProtocol="TLS"    指定SSL协议
启动tomcat,使用https://localhost:8643访问,页面成功打开,即tomcat下的https配置成功:

4.3.2 设置应用程序http自动跳转到https在项目的web.xml中插入如下代码:
<security-constraint>
    <web-resource-collection>
      <web-resource-name>SSL</web-resource-name>
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
在项目pom.xml的<plugins></plugins>节点中插入如下代码:
<plugin>
         <groupId>org.apache.tomcat.maven</groupId>
         <artifactId>tomcat7-maven-plugin</artifactId>
      <configuration>
          <port>8080</port>
          <path>/</path>
          <keystoreFile>D:\home\tomcat.keystore</keystoreFile>
          <keystorePass>123456</keystorePass>
      </configuration>
</plugin>
配置完成,即使通过http去访问项目也可以成功跳转到https
7. 其他如果你使用自建服务器、云服务器可以这样操作,但是如果你使用了负载均衡产品,如:使用阿里云负载均衡将流量分发到后端多台ECS服务器上,这时由于产品特性,可能会与上面的操作有所不同。
那么我们今天的学习就到此结束,想必大家对https一定有了更加深刻的理解,我们下次再见吧!


0 个回复

您需要登录后才可以回帖 登录 | 加入黑马