HTTP協(xié)議轉(zhuǎn)換成HTTPS協(xié)議

1、HTTP協(xié)議轉(zhuǎn)換成HTTPS協(xié)議考慮到數(shù)據(jù)的安全敏感性采用https 是超文本傳輸協(xié)議(HTTP)加 SSL/TLS（數(shù)據(jù)鏈接層加密技術(shù)）的組合，用以鑒定網(wǎng)絡(luò)服務(wù)器身份并且提供用戶與服務(wù)器加密通訊。本文以 jboss-4.2.3.GA 版本為例講解配置 https 方法。（ tomcat 在后面）一、 為服務(wù)器生成證書 keystore 密鑰文件1 以下是我在cmd 中的操作：%JAVA_HOME%binkeytool -genkey -alias server -keyalg RSA -keystore f:server.keystore -validity 3650或有相應(yīng)提示輸入提示信息

2、在 F 盤生成了一個 server.keystore 密鑰文件。-alias server key 的別名。具體參數(shù)見本文檔附錄最后。二、 將生成好的server.keystore 放入你的jboss 安裝目錄生成完后server.keystore 放入 D: jboss-4.2.3.GAserverdefaultconf中。三、 修改 server.xml 文件1.修改 D:jboss-4.2.3.GAserverdefaultdeployjboss-web.deployer目錄下的server.xml 文件。2. 找到 Connector port=8443 address=$jboss.

3、bind.address 配置節(jié)點去掉注釋加入代碼片段：keystoreFile=$jboss.server.home.dir/conf/server.keystorekeystorePass=123456 clientAuth=false sslProtocol=TLS也可不去掉注釋增加如下代碼：keystoreFile ：server.keystore 在 jboss 中的位置，在第二步中放的位置keystorePass：在 cmd 命令中輸入的 key 密碼 一定要一直sslProtocol=TLS： 加密方式可以參考官網(wǎng) /jbossweb/3.

4、0.x/ssl-howto.html 四、 修改項目中 web.xml 配置文件 增加如下配置。HtmlAdaptorAn example securityconfigthatonlyallowsusers with therole JBossAdmin to access the HTML JMX console webapplication*.do!- GETPOST -!- JBossAdmin -Protection should beCONFIDENTIALCONFIDENTIAL*.do過濾地址可以配置多個選項/表示全部可以用指定 jsp html等CONFIDENTIAL其中 t

5、ransport-guarantee 的可選參數(shù)類型有三個：NONE: 對所使用的通信協(xié)議不加限制；CONFIDENTIAL：使用加密的通信協(xié)議；INTEGRAL： 數(shù)據(jù)必須以一種防止截取它的人閱讀它的方式傳送。五、 測試。訪問 https:/localhost:8443/jmx-console/index.jsp ，可以了。同時http:/localhost:8080/jmx-console/index.jsp也可以訪問本項目地址：:8080/buyerindex.do會強制轉(zhuǎn)向的:8443/buyer

6、index.do2 / 7注意 是在 cmd 生成 key 文件時輸入的出現(xiàn)警告點擊繼續(xù)出現(xiàn)紅叉不信任警告可以查看證書信息，里面都是cmd 時生成的信息3 / 7六、 安裝導(dǎo)入證書如上圖點擊“常規(guī)選項卡”點擊安裝證書點擊是。重新打開瀏覽器此時的地址欄警告已經(jīng)沒有了4 / 7注意地址欄 是 cmd 輸入的“名字姓氏（名詞可能不一樣） ”如果不匹配 或出現(xiàn)警告“地址不符 ”到處為止 jboss https 加密協(xié)議完成， 注意這種用是單向認證七、 tomcat 配置 https 協(xié)議生成 keystore 文件與 jboss 相同。

7、文件存放位置：tomcat 安裝的根目錄如： D:apache-tomcat-6.0.37修改 conf 下的 service.xml 文件方法與jboss 修改文件相同如：注意紅色部分 tomcat6 是這樣配置的protocol= org.apache.coyote.http11.Http11NioProtocol其他 tomcat 版本 protocol=HTTP/1.1修改項目 web.xml 文件同 jboss 相同。完畢 測試方法類同。八、 JDK中 keytool 常用命令。-genkey在用戶主目錄中創(chuàng)建一個默認文件 .keystore, 還會產(chǎn)生一個 mykey的別名， my

8、key 中包含用戶的公鑰、私鑰和證書(在沒有指定生成位置的情況下 ,keystore 會存在用戶系統(tǒng)默認目錄，如：對于window xp系統(tǒng)，會生成在系統(tǒng)的 C:/Documents and Settings/UserName/文件名為 “.keystore ”)-alias產(chǎn)生別名-keystore指定密鑰庫的名稱 (產(chǎn)生的各類信息將不在 .keystore 文件中 )-keyalg指定密鑰的算法 (如 RSA DSA （如果不指定默認采用 DSA ）)-validity指定創(chuàng)建的證書有效期多少天-keysize指定密鑰長度-storepass指定密鑰庫的密碼 (獲取 keystore 信息

9、所需的密碼 )-keypass指定別名條目的密碼 (私鑰的密碼 )-dname 指定證書擁有者信息 例如： CN= 名字與姓氏 ,OU= 組織單位名稱 ,O=組織名稱 ,L= 城市或區(qū)域名稱 ,ST= 州或省份名稱 ,C= 單位的兩字母國家代5 / 7碼 -list顯示密鑰庫中的證書信息keytool -list -v -keystore指定 keystore-storepass 密碼-v顯示密鑰庫中的證書詳細信息-export將別名指定的證書導(dǎo)出到文件 keytool -export -alias需要導(dǎo)出的別名 -keystore 指定 keystore -file指定導(dǎo)出的證書位置及證書名

10、稱-storepass密碼-file參數(shù)指定導(dǎo)出到文件的文件名-delete刪除密鑰庫中某條目keytool -delete -alias 指定需刪除的別 -keystore 指定 keystore -storepass 密碼-printcert查看導(dǎo)出的證書信息keytool -printcert -file yushan.crt-keypasswd修改密鑰庫中指定條目口令keytool -keypasswd -alias需修改的別名-keypass舊密碼 -new新密碼-storepass keystore密碼-keystoresage-storepasswd修改 keystore 口令k

11、eytool -storepasswd -keystoree:/yushan.keystore( 需修改口令的 keystore) -storepass 123456(原始密碼 ) -newyushan( 新密碼 )-import將已簽名數(shù)字證書導(dǎo)入密鑰庫keytool -import -alias指定導(dǎo)入條目的別名-keystore指定 keystore -file需導(dǎo)入的證書下面是各選項的缺省值。-alias mykey-keyalg DSA-keysize 1024-validity 90-keystore 用戶宿主目錄中名為.keystore 的文件-file 讀時為標準輸入，寫時為標

12、準輸出1、keystore 的生成：分階段生成：keytool -genkey -alias yushan( 別名 ) -keypass yushan( 別名密碼 ) -keyalg RSA( 算法 ) -keysize 1024( 密鑰長度 ) -validity 365( 有效期，天單位 ) -keystore6 / 7e:/yushan.keystore( 指定生成證書的位置和證書名稱 ) -storepass 123456( 獲取 keystore 信息的密碼 )；回車輸入相關(guān)信息即可；一次性生成：keytool -genkey -alias yushan -keypass yushan -keyalg RSA -keysize 1024 -validity 365 -keystore e:/yushan.keystore -storepass 123456 -dn