企業(yè)建站知識推廣知識小程序微信營銷 APP開發(fā) 前端設(shè)計(jì) MindManager 開發(fā)語言自媒體

搭建本地HTTPS環(huán)境

發(fā)表日期：2018-09 文章編輯：小燈瀏覽次數(shù)：2579

HTTPS 是http的擴(kuò)展，簡單來說就是在 HTTP 協(xié)議基礎(chǔ)上加了一層TLS/ SSL 加密協(xié)議。

Hypertext Transfer Protocol Secure (HTTPS) is an extension of the Hypertext Transfer Protocol (HTTP) for secure communication over a computer network, and is widely used on the Internet.[1][2] In HTTPS, the communication protocol is encrypted using Transport Layer Security (TLS), or formerly, its predecessor, Secure Sockets Layer (SSL). The protocol is therefore also often referred to as HTTP over TLS,[3] or HTTP over SSL.
摘自Wikipedia HTTPS

2.2 TLS和SSL

兩種保護(hù)通信安全和數(shù)據(jù)完整性的協(xié)議，可以當(dāng)做并列，前后關(guān)系。

傳輸層安全性協(xié)議（Transport Layer Security），及其前身安全套接層（Secure Sockets Layer）是一種安全協(xié)議，目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。
摘自Wikipedia TLS

2.3 證書

2.3.1 什么是證書

證書由第三方 CA 認(rèn)證機(jī)構(gòu)頒發(fā)，網(wǎng)站所有者向 CA 機(jī)構(gòu)申請證書，證書中包含了公鑰、頒證機(jī)構(gòu)、網(wǎng)址、失效日期。如果網(wǎng)站使用假冒證書，瀏覽器向 CA 認(rèn)證機(jī)構(gòu)發(fā)送證書是否合法的請求，如果檢測非法證書，瀏覽器可以直接斷開請求。

簡而言之，證書是服務(wù)器端和客戶端安全通信的憑證。

2.3.2 常見SSL證書格式

根據(jù)不同的服務(wù)器以及服務(wù)器的版本，我們需要用到不同的證書格式，就市面上主流的服務(wù)器來說，大概有以下格式：

.DER .CER，文件是二進(jìn)制格式，只保存證書，不保存私鑰。
.PEM，一般是文本格式，可保存證書，可保存私鑰。
.CRT，可以是二進(jìn)制格式，可以是文本格式，與 .DER 格式相同，不保存私鑰。
.PFX .P12，二進(jìn)制格式，同時包含證書和私鑰，一般有密碼保護(hù)。
.JKS，二進(jìn)制格式，同時包含證書和私鑰，一般有密碼保護(hù)。

具體可查看SSL證書格式普及。

2.3.3 CSR，KEY和X.509

CSR 是Certificate Signing Request的縮寫，即證書簽名請求，這不是證書，可以簡單理解成公鑰，生成證書時要把這個提交給權(quán)威的證書頒發(fā)機(jī)構(gòu)。
KEY 通常指私鑰
X.509 是一種證書格式.對X.509證書來說，認(rèn)證者總是CA或由CA指定的人，一份X.509證書是一些標(biāo)準(zhǔn)字段的集合，這些字段包含有關(guān)用戶或設(shè)備及其相應(yīng)公鑰的信息。

3. 兩種渠道獲得SSL證書

3.1 自簽

一般本地測試使用這種方法
由于我使用tomcat作為web容器，這里就用java自帶keytool工具生成。

3.1.1 cmd輸入keytool命令

keytool -genkey -alias cas -keyalg RSA -keysize 2048-keypass changeit -storepass changeit -keystore httptestkian.jks-dname "CN=http://httptestkian.com/,OU=httptestkian.com,O=httptestkian,L=httptestkian,ST=httptestkian,C=CN"

使用的參數(shù)含義

參數(shù)名稱	參數(shù)含義
-genkey	在用戶主目錄中創(chuàng)建一個默認(rèn)文件”.keystore”,還會產(chǎn)生一個mykey的別名，mykey中包含用戶的公鑰、私鑰和證書
-alias	產(chǎn)生別名缺省值”mykey”
-keyalg	指定密鑰的算法 (如 RSA DSA（如果不指定默認(rèn)采用DSA）)
-keysize	指定密鑰長度缺省值1024
-keypass	指定別名條目的密碼(私鑰的密碼)
-storepass	指定密鑰庫的密碼(獲取keystore信息所需的密碼)
-keystore	指定密鑰庫的名稱(產(chǎn)生的各類信息將不在.keystore文件中)
-dname	指定證書擁有者信息例如： “CN=名字與姓氏,OU=組織單位名稱,O=組織名稱,L=城市或區(qū)域名稱,ST=州或省份名稱,C=單位的兩字母國家代碼”

再列一些keytool常用的例子

# 把密鑰庫導(dǎo)出成證書文件 keytool -export -alias cas.server.com -keystore casServer.keystore -file casServer.crt -storepass changeit # 查看證書 keytool -printcert -file casServer.crt # 將創(chuàng)建過的證書導(dǎo)入java的cacerts證書庫(需要管理員權(quán)限) # 切換到目錄 ${JAVA_HOME}/jre/lib/security keytool -import -alias cas.server.com -keystore cacerts -file casServer.keystore # 查看JDK證書內(nèi)容 keytool -list -v -keystore cacerts -alias cas.server.com # 根據(jù) alias 別名刪除 JDK 證書， JDK證書目錄： cd 'C:\Program Files (x86)\Java\jdk1.8.0_172\jre\lib\security\' keytool -delete -alias cas.server.com -keystore cacerts

如果對命令不熟悉，可以使用在線工具CSR在線生成工具生成

3.JPG
點(diǎn)擊KeyTool生成即可獲得命令，將命令粘貼到命令行執(zhí)行即可。

1.JPG

3.2 第三方CA頒發(fā)

一般是收費(fèi)的，但是指定域名一年使用騰訊阿里都可以免費(fèi)生成，前提條件是你擁有一個域名。
比如說騰訊云，SSL免費(fèi)購買鏈接

4.JPG
具體步驟參照官方指引。
購買成功并驗(yàn)證域名之后可下載證書文檔，比如說申請的為www.testdomain.com，則下載文件為www.testdomain.com.zip。文件中包含針對IIS，tomcat，nginx等多種web容器適用的證書文件。

4.配置tomcat實(shí)現(xiàn)HTTPS

修改conf/server.xml文件

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig><Certificate certificateKeystoreFile="D:/temp/httptestkian.com.jks"certificateKeystorePassword="changeit" type="RSA" /></SSLHostConfig> </Connector>

重啟tomcat服務(wù)，瀏覽器中輸入https://localhost:8443/cas/login

2.JPG

5. tomcat8配置HTTP自動跳轉(zhuǎn)HTTPS

在conf/web.xml中</welcome-file-list>節(jié)點(diǎn)后面添加

<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>

6. 結(jié)語

如有疑問，歡迎留言共同探討。

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20398.html

上一篇：<Corda網(wǎng)絡(luò)的證書簽發(fā) 下一篇：iOS安全系列之二：HTTPS進(jìn)階>