HTTPStomcat配置

1、Tomcat 配置 HttpsHTTPS 簡介：HTTPS(全稱：Hypertext Transfer Protocol over Secure Socket Layer )，是以安全為目標(biāo)的 HTTP通道，簡單講是 HTTP的安全版。即 HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是 SSL，因 此加密的詳細(xì)內(nèi)容就需要 SSL。它是一個(gè)URI scheme (抽象標(biāo)識符體系)，句法類同http: 體系。用于安全的 HTTP 數(shù)據(jù)傳輸。 https:URL 表明它使用了 HTTP ，但 HTTPS 存在不同于 HTTP 的默認(rèn)端口及一個(gè)加密 /身份驗(yàn)證層 (在 HTTP 與 TCP 之間)。這

2、個(gè)系統(tǒng)的最初研發(fā)由 網(wǎng)景公司進(jìn)行， 提供了身份驗(yàn)證與加密通訊方法， 現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通 訊，例如交易支付方面。HTTPS 解決的問題：一、信任主機(jī)的問題 .采用 https 的 server(服務(wù)器) 必須從 CA ( Certificate Authority )申請一 個(gè)用于證明服務(wù)器用途類型的證書 . 該證書只有用于對應(yīng)的 server 的時(shí)候 , 客戶端才信任此主機(jī) . 所以目前所有的銀行系統(tǒng)網(wǎng)站,關(guān)鍵部分應(yīng)用都是https 的 . 客戶通過信任該證書 ,從而信任了該主機(jī) .二、通訊過程中的數(shù)據(jù)的泄密和被篡改1. 一般意義上的 https, 就是 server 有一個(gè)

3、證書 .a) 主要目的是保證 server 就是他聲稱的 server. 這個(gè)跟第一點(diǎn)一樣 .b) 服務(wù)端和客戶端之間的所有通訊 ,都是加密的 .1. 具體講 ,是客戶端產(chǎn)生一個(gè)對稱的密鑰 ,通過 server 的證書來交換密鑰 . 一 般意義上的握手過程 .ii. 接下來所有的信息往來就都是加密的 . 第三方即使截獲 ,也沒有任何意義 . 因?yàn)樗麤]有密鑰 . 當(dāng)然篡改也就沒有什么意義了 .2. 少許對客戶端有要求的情況下 ,會要求客戶端也必須有一個(gè)證書 .a) 這里客戶端證書 ,其實(shí)就類似表示個(gè)人信息的時(shí)候 ,除了用戶名 /密碼, 還 有一個(gè) CA 認(rèn)證過的身份 . 因?yàn)閭€(gè)人證書一般來說是別

4、人無法模擬的 ,所有這樣 能夠更深的確認(rèn)自己的身份 .b） 目前少數(shù)個(gè)人銀行的專業(yè)版是這種做法 ,具體證書可能是拿 U 盤（即 U 盾）作 為一個(gè)備份的載體 .關(guān)于單向認(rèn)證和雙向認(rèn)證單向認(rèn)證 ：客戶端向服務(wù)器發(fā)送消息， 服務(wù)器接到消息后， 用服務(wù)器端的密鑰庫 中的私鑰對數(shù)據(jù)進(jìn)行加密，然后把加密后的數(shù)據(jù)和服務(wù)器端的公鑰一起發(fā)送到 客戶端，客戶端用服務(wù)器發(fā)送來的公鑰對數(shù)據(jù)解密， 然后在用傳到客戶端的服務(wù) 器公鑰對數(shù)據(jù)加密傳給服務(wù)器端， 服務(wù)器用私鑰對數(shù)據(jù)進(jìn)行解密， 這就完成了客 戶端 和服務(wù)器之間通信的安全問題，但是單向認(rèn)證沒有驗(yàn)證客戶端的合法性。雙向認(rèn)證 ：客戶端向服務(wù)器發(fā)送消息， 首先把消息用

5、客戶端證書加密然后連同時(shí) 把客戶端證書一起發(fā)送到服務(wù)器端，服務(wù)器接到消息后用首先用客戶端證書把 消息解密， 然后用服務(wù)器私鑰把消息加密， 把服務(wù)器證書和消息一起發(fā)送到客戶 端，客戶端用發(fā)來的服務(wù)器證書對消息進(jìn)行解密， 然后用服務(wù)器的證書對消息加 密， 然后在用客戶端的證書對消息在進(jìn)行一次加密，連同加密消息和客戶端證 書一起發(fā)送到服務(wù)器端，到服務(wù)器端首先用客戶端傳來的證書對消息進(jìn)行解密， 確保消息是 這個(gè)客戶發(fā)來的，然后用服務(wù)器端的私鑰對消息在進(jìn)行解密這個(gè)便 得到了明文數(shù)據(jù)。在萬達(dá)在線網(wǎng)站中的應(yīng)用：在萬達(dá)網(wǎng)站中， 我們需要對用戶登錄， 注冊已經(jīng)支付頁面的數(shù)據(jù)通過 HTTP 提交到服務(wù)器的過程中，

6、進(jìn)行加密，所以訪問這些頁面的 URL需要采用HTTPS 協(xié)議。在這過程中，只需要采用 單向認(rèn)證 的形式，即客戶信任服務(wù)器，則安 裝證書。在用戶數(shù)據(jù)提交至服務(wù)器之前，瀏覽器將使用證書的公鑰對數(shù)據(jù)進(jìn) 行加密， 然后提交至服務(wù)器， 服務(wù)器使用證書的私鑰對數(shù)據(jù)進(jìn)行解密。 這樣， 保證了數(shù)據(jù)在傳輸過程中的安全。所有我們需要進(jìn)行的工作就是生成服務(wù)器證書，配置 Tomcat 使得 Tomcat 支持 https 。使 Tomcat 支持 HTTPS 第一步：為服務(wù)器生成證書 使用 keytool 為 Tomcat 生成證書，假定目標(biāo)機(jī)器的域名是 “l(fā)ocalhost，ke”ystore 文件存放在 “Et:

7、omcat.keystore ，”使用如下命令生成 :keytool -genkey -v -alias tomcat -keyalg RSA -keystore E:tomcat.keystore 安裝提示輸入用戶名，組織，地區(qū)，國家等，即可正確生成，該步為服務(wù)器 生成了證書。單向認(rèn)證的話，到這一步即可。 但是這樣產(chǎn)生的證書，因?yàn)闆] 有經(jīng)過專門的 CA 認(rèn)證，瀏覽器訪問時(shí)，會彈出警告。 第二步：為客戶端生成證書 下一步是為瀏覽器生成證書，以便讓服務(wù)器來驗(yàn)證它。為了能將證書順利導(dǎo) 入至IE和Firefox，證書格式應(yīng)該是PKCS12,因此，使用如下命令生成： keytool -genkey -

8、v -alias myKey -keyalg RSA -storetype PKCS12 -keystore my.p12 -dname "CN=MyKey,OU=cn,o=cn,L=cn,ST=cn,C=cn" -storepass password1 -keypass password2 第三步：讓服務(wù)器信任客戶端證書由于是雙向SSL認(rèn)證，服務(wù)器必須要信任客戶端證書，因此，必須把客戶端 證書添加為服務(wù)器的信任認(rèn)證。由于不能直接將PKCS12格式的證書庫導(dǎo)入， 我們必須先把客戶端證書導(dǎo)出為一個(gè)單獨(dú)的 CER 文件，使用如下命令： keytool -export -alia

9、s myKey -keystore my.p12 -storetype PKCS12 -storepass password1 -rfc -file my.cer通過以上命令，客戶端證書就被我們導(dǎo)出到“ Cmy.cer文件了。下一步，是將該文件導(dǎo)入到服務(wù)器的證書庫，添加為一個(gè)信任證書：keytool -import -v -file my.cer -keystore E:tomcat.keystore -storepass changeit 最后：配置 tomcat根目 錄下中 conf的server.xml<Connector port="8443" protoco

10、l="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true" clie ntAuth="false" sslProtocol="TLS"keystoreFile="E:/tomcat.keystore" keystorePass="111111" truststoreFile="E:/tomcat.keystore&q

11、uot; truststorePass="111111"/>驗(yàn)證:其中，clientAuth指定是否需要驗(yàn)證客戶端證書，如果該設(shè)置為 “false, 則為單向SSL驗(yàn)證，SSL配置可到此結(jié)束。如果 clientAuth設(shè)置為“true,” 表示強(qiáng)制雙向 SSL驗(yàn)證，必須驗(yàn)證客戶端證書。如果 clientAuth設(shè)置為“ wan，則表示可以驗(yàn)證客戶端證書，但如果客戶端沒有有效證書，也不強(qiáng)制驗(yàn)證。true是服務(wù)器不會頒發(fā)證書必須由客戶端導(dǎo)入。重啟服務(wù)器，輸入url:https:/localhost/可看到tomcat歡迎頁面，即為成功。特別說明：其實(shí)做完第一步，然后配置 tomcat根目錄下中conf的server.xml 中的Connector即可使的tomcat支持https了。如果還需要對客戶端進(jìn)行驗(yàn)證， 則需進(jìn)行二三步。支持特定頁面采用HTTPS傳輸，普通頁面采用 HTTP傳輸HTTPS相比HTTP來說，最大的好處就是安全。但是為了安全付出的代價(jià)是犧 牲了性能。所有我們需要采取控制，對特定需要https的頁面采用https傳輸，普通頁面采取http傳輸。我們采用了過濾器。過濾器中的邏輯是這樣子的，分為四種情況：當(dāng)前協(xié)議