基本概念
SSL证书:SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。
SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数字签名又名数字标识、签章 (即 Digital Certificate,Digital ID ),提供了一种在网上进行身份验证的方法,是用来标志和证明网络通信双方身份的数字信息文件,概念类似日常生活中的司机驾照或身份证。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、网上公文安全传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
HTTPS协议:HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
HTTP与HTTPS的区别:HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
官方文档
官方文档: https://tomcat.apache.org/tomcat-8.5-doc/config/http.html
操作步骤
获取SSL证书
1、阿里云申请免费的SSL证书
阿里云免费的SSL证书申请地址:https://common-buy.aliyun.com/?spm=5176.10695662.958455.3.58d37d544FnuYs&commodityCode=cas#/buy
下载SSL证书
Tomcat配置
阿里云SSL证书官方Tomcat配置说明:
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。
文件说明:
1.证书文件xxxx.pem,包含两段内容,请不要删除任何一段内容。
2.如果是证书系统创建的CSR,还包含:证书私钥文件xxxx.key、PFX格式证书文件xxxx.pfx、PFX格式证书密码文件pfx-password.txt。
1、证书格式转换
在Tomcat的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,附件中只包含xxxx.pem文件,还需要将私钥文件拷贝到cert目录,命名为xxxx.key;如果是系统创建的CSR,请直接到第2步。
到cert目录下执行如下命令完成PFX格式转换命令,此处要设置PFX证书密码,请牢记:
openssl pkcs12 -export -out xxxx.pfx -inkey xxx.key -in xxxx.pem
2、PFX证书安装
找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
keystoreFile="cert/xxxx.pfx"
keystoreType="PKCS12"
打开server.xml,找到如下代码,去掉注释
注:找不到直接添加也可以
修改为
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="D:/apache-tomcat-8.5.15/cert/xxx.pfx"
certificateKeystoreType="PKCS12" certificateKeystorePassword="xxx" />
</SSLHostConfig>
</Connector>
参数信息:
属性 描述
certificateRevocationListFile
包含证书颁发机构的级联证书吊销列表的文件名。格式是PEM编码的。如果未定义,则不会根据证书吊销列表检查客户端证书(除非使用了基于OpenSSL的连接器并且 定义了certificateRevocationListPath)。相对路径将针对解析$CATALINA_BASE。基于JSSE的连接器也可以为此属性指定一个URL。
certificateRevocationListPath
仅OpenSSL。
包含证书颁发机构的证书吊销列表的目录的名称。格式是PEM编码的。相对路径将针对解析$CATALINA_BASE。
certificateVerification
设置为required,如果你想在SSL栈需要从客户端的有效证书链接受连接之前。optional如果希望SSL堆栈请求客户端证书,则设置为,但是如果未提供证书,则不会失败。设置为 optionalNoCA,如果你想客户证书是可选的,你不想Tomcat来检查他们对信任的CA列表中。如果TLS提供程序不支持此选项(OpenSSL支持,JSSE不支持),则将其视为optional已指定。一 none,除非客户端请求由安全限制使用保护的资源值(默认值)将不需要证书链CLIENT-CERT认证。
certificateVerificationDepth
验证客户端证书时允许的中间证书的最大数量。如果未指定,将使用默认值10。
ciphers
使用OpenSSL语法启用的密码。(有关支持的密码列表和语法,请参见OpenSSL文档。)或者,可以使用逗号分隔的使用标准OpenSSL密码名称或标准JSSE密码名称的密码列表。
对于基于JSSE的连接器,从OpenSSL语法转换为JSSE密码时,OpenSSL语法分析的行为与OpenSSL 1.1.0开发分支的行为保持一致。
仅使用SSL实施支持的密码。
如果未指定,将使用默认值(使用OpenSSL表示法) HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!kRSA。
请注意,默认情况下,定义密码的顺序被视为优先顺序。请参阅honorCipherOrder。
hostName
SSL主机的名称。这应该是完全限定域名(例如tomcat.apache.org)或通配符域名(例如*.apache.org)。如果未指定,_default_将使用默认值。
protocols
与客户端通信时要支持的协议的名称。这应该是以下各项的任意组合的列表:
SSLv2您好
SSLv3
TLSv1
TLSv1.1
TLSv1.2
TLSv1.3
所有
列表中的每个标记都可以带有加号(“ +”)或减号(“-”)前缀。加号添加协议,减号将其从当前列表中删除。该列表是从一个空列表开始构建的。
令牌all是的别名 SSLv2Hello,TLSv1,TLSv1.1,TLSv1.2,TLSv1.3。
请注意,TLSv1.3仅当使用实现的JVM时,JSSE才支持该功能TLSv1.3。
请注意,SSLv2Hello对于基于OpenSSL的安全连接器,它将被忽略。如果为基于OpenSSL的安全连接器指定了多个协议,它将始终支持SSLv2Hello。如果指定了单个协议,则不支持 SSLv2Hello。
请注意,SSLv2和SSLv3本质上是不安全的。
如果未指定,all将使用默认值。
sessionCacheSize
要在会话缓存中维护的SSL会话数。指定 -1使用实现默认值。零及以上的值将传递给实现。零用于指定无限的缓存大小,不建议使用。如果未指定,-1则使用默认值。
sessionTimeout
创建SSL会话后将超时的时间(以秒为单位)。指定-1使用实现默认值。零及以上的值将传递给实现。零用于指定无限超时,不建议使用。如果未指定,则使用默认值86400(24小时)。
sslProtocol
仅限JSSE。
要使用的SSL协议(一个值可以启用多个协议-有关详细信息,请参阅JVM文档)。如果未指定,则默认为TLS。在创建SSLContext实例(例如 Oracle Java 7)时,可以从JVM文档中获取算法允许值的允许值 。注意:此属性和之间有重叠 protocols。
注:Tomcat 8.0及以下配置:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="F:\Keystore\tomcat.keystore"
keystorePass="123456"/>
参数信息:
属性 描述
clientAuth 如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证
keystoreFile 指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于<CATALINA_HOME>(Tomcat安装目录)环境变量 的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为“.keystore”的文件。
keystorePass 指定keystore的密码,如果此项没有设定,在默认情况下,Tomcat将使用“changeit”作为默认密码。
sslProtocol 指定套接字(Socket)使用的加密/解密协议,默认值为TLS,用户不应该修改这个默认值。
ciphers 指定套接字可用的用于加密的密码清单,多个密码间以逗号(,)分隔。如果此项没有设定,在默认情况下,套接字可以使用任意一个可用的密码。
保存
重启Tomcat
访问
https//:域名:端口
注:HTTPS协议默认端口443
原文链接:https://blog.csdn.net/weixin_43272781/article/details/104411451
学习使用 侵删。