iPortal配置HTTPS加密协议

作者：LX

一、 为什么需要加密

因为 HTTP 协议，在网络中流通的信息都为明文，非常容易泄密，如果信息在传输过程中被劫持，传输的内容就完全暴露了，他还可以篡改传输的信息且不被双方察觉。为保证传输信息不被中间服务器或者其它探测软件捕获，可使用 SSL/TLS 对通信内容加密。HTTPS 报文中的任何东西都被加密，包括所有报头和荷载从而避免通讯内容被截获。

二、 什么是HTTPS加密协议

HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议，是一个安全通信通道，它
是通过SSL(安全套接层)和TLS(安全传输协议)的组合使用，加密TCP载荷即HTTP报文内容，同时通过不对称密钥方式认证身份，保证传输的安全可靠
即：HTTP+加密+认证+完整性保护=HTTPS

HTTPS有如下特点：
内容加密：采用混合加密技术，中间者无法直接查看明文内容
验证身份：通过证书认证客户端访问的是自己的服务器
保护数据完整性：防止传输的内容被中间人冒充或者篡改

PS：TLS/SSL全称安全传输层协议Transport Layer Security, 是介于TCP和HTTP之间的一层安全协议，不影响原有的TCP协议和HTTP协议，所以使用HTTPS基本上不需要对HTTP页面进行太多的改造。

三、iPortal如何配置HTTPS加密协议

SuperMap iPortal 默认的 Web 容器 是Tomcat有两种加密方式，下面分别介绍这两种配置 HTTPS 连接的方式:
方式一：使用JSSE配置HTTPS 加密
1）生成服务器证书（公钥）
Windows:

%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA -keystore D:\key.keystore

Unix:

$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -keystore /home/key.keystore

其中，-keystore 参数指定的是证书的存放位置，可以任意指定。
按照提示输入密码（部署时 Tomcat 默认使用“changeit”作为密码），如“123456”，输入相关信息后确认。
2）修改%iPortalROOT%\conf\server.xml 配置文件，开启 SSL
注释掉如下配置，不使用 APR：

<!--APR library loader. Documentation at /docs/apr.html -->
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

找到 SSL HTTP/1.1 Connector 的配置，即：

<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connector uses the JSSE configuration, when using APR, the 
         connector should be using the OpenSSL style configuration
         described in the APR documentation -->
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
        …
-->

去掉注释，修改如下：

<Connector port="8443" protocol="HTTP/1.1"
                   SSLEnabled="true"
                   maxThreads="150"
                   scheme="https"
                   secure="true"
                   URIEncoding="utf-8"
                   clientAuth="false"
                   keystoreFile="D:\installpack\jdk\keystore\key.keystore"
                   keystorePass="123456"
                   sslProtocol="TLS"/>

3）重启 Tomcat，即可在8443端口通过 HTTPS 访问 Web 应用，如 https://localhost:8443/iportal 。

方式二：使用APR配置HTTPS 加密
使用 APR 方式配置 HTTPS 加密有如下步骤：
1）在 OpenSSL 网站（http://www.openssl.org/）下载 OpenSSL，在 Window 平台下可使用 OpenSSL for Windows。
2）利用 OpenSSL 生成公钥和私钥。
a) 将 OpenSSL 的 bin 目录添加到系统的 PATH 环境变量中 ，如 D:\OpenSSL-Win64\bin 。
b) 进入 OpenSSL>命令行，即在任意位置打开命令行窗口，输入如下命令：
openssl.exe
c) 为 Tomcat 创建一个私钥，执行如下命令行：

genrsa -des3 -out D:\tomcatkey.pem 2048

按照提示输入密码短语，例如“123456”，OpenSSL 会提示你重复输入一次确认。然后会生成一个名为 tomcatkey.pem 的私钥，D:\tomcatkey.pem 为该私钥的路径。
d) 创建一个使用该私钥的证书
创建私钥后，还需要创建一个证书，在 OpenSSL>命令行执行如下命令：

req -new -x509 -key D:\tomcatkey.pem -out D:\tomcatcert.pem -days 1095

按照提示输入 tomcatkey.pem 的密码短语，这里为“123456”（创建私钥时指定），并输入相关信息后，即生成一个周期为3年（1095天）的自签名证书，即 tomcatcert.pem，tomcatcert.pem 使用 tomcatkey.pem 这个私钥，D:\tomcatcert.pem 为该证书的路径。

3）修改%iPortalROOT%\conf\server.xml配置文件，开启 SSL。

找到 SSL HTTP/1.1 Connector 的配置，即：

<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connector uses the JSSE configuration, when using APR, the 
         connector should be using the OpenSSL style configuration
         described in the APR documentation -->
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
        …
-->

去掉注释，修改如下：

<Connector port="8443" protocol="HTTP/1.1"
                   SSLEnabled="true"
                   maxThreads="150"
                   scheme="https"
                   secure="true"
                   URIEncoding="utf-8"
                   clientAuth="false"
                   SSLCertificateFile="D:\tomcatcert.pem"
                   SSLCertificateKeyFile="D:\tomcatkey.pem"
                   SSLPassword="123456"
                   sslProtocol="TLS"/>

4） 重启 Tomcat，即可在 8443 端口通过 HTTPS 访问 Web 应用，如 https://localhost:8443/iportal 。

四、以 HTTPS 协议启用代理服务的配置

注意：只有iportal开启了代理服务才需要做这部分配置
SuperMap iPortal 默认使用的是 http 协议启用代理服务，也就是说，如果您注册的是 https 服务，那么该服务经 iPortal 代理后，将以 http 协议启用。门户管理员可以通过如下设置使用 https 协议启用代理服务：
iPortal 门户管理员通过 %SuperMap iPortal_HOME%/webapps/iportal/WEB-INF 目录下的 iportal.xml 文件中的 子节点元素，设置服务代理相关配置，如下图所示：

scheme:设置使用什么协议启用代理服务，默认值：http，即：使用 http 协议。如果您希望使用 https 协议启用代理服务，那么此处需设置为：https。
keyStorePath：指定证书的存放位置，可以任意指定。该证书是用于 iPortal 以 HTTPS 协议启用代理服务，可以直接指定前文生成好的密钥路径即可。
keyStorePassword：设置证书的密码，即证书 key.keystore 的密码。

从上图可以看出需要修改三个地方：
1、将http的代理地址改成https的代理地址
修改proxyServerRootUrl节点代理服务地址<proxyServerRootUrl>http://{ProxyHost}:8195</proxyServerRootUrl>为<proxyServerRootUrl>https://{ProxyHost}:8195</proxyServerRootUrl>
2、将http 协议启用代理服务改成https协议启用代理服务
即将<scheme>http</scheme>修改为<scheme>https</scheme>
元素中的如下注释部分打开：
3、配置证书的存放路径和证书密码
直接按照上图标号③位置所示填写好证书路径和证书密码即可。

PS:
通过JSSE方式生成的证书直接就是keystore类型，直接配置keystore证书路径即可；但是通过APR加密方式生成的密钥是pem证书不是keystore证书，所以需要将pem证书转成keystore证书，转换方法如下：
1） 首先将pem文件（包括证书和私钥）转换成pk12格式文件
执行命令说明：

OpenSSL>  pkcs12（证书类型） -export -in cert.pem（pem证书文件） -inkey key.pem（pem私钥文件） -out out.pk12（导出pk12文件） -name out（证书及私钥的友好名字）

Enter pass phrase for spvkey.pem:   私钥证书密码
Enter Export Password:  pk12证书加密密码
Verifying - Enter Export Password:  再次输入pk12证书加密密码

如下图：

2）生成keystore
执行命令说明：
$ keytool -importkeystore -deststorepass 目标存储库口令 -destkeypass 目标密钥库口令 -destkeystore out.keystore（目标密钥库） -srckeystore out.pk12（源密钥库） -srcstoretype PKCS12（源存储类型） -srcstorepass 源存储库口令 -alias 别名
如下图：

这样就可以将pem证书转成keystore证书：

还是按照上面的配置方式，正确配置keystore证书路径即可

4、启动iportal，可以看到代理服务地址也是以https协议启动的

访问服务地址也可以正常访问：