Https tomcat7 SSL 证书配置

最新推荐文章于 2024-05-17 01:33:29 发布

weixin_34178244

最新推荐文章于 2024-05-17 01:33:29 发布

阅读量529

点赞数

文章标签： java python web.xml

原文链接：https://my.oschina.net/gaoguofan/blog/797999

版权

2019独角兽企业重金招聘Python工程师标准>>>

证书维度：

证书的单向和双向问题，单向认证只要求站点部署了ssl证书就行，任何用户都可以去访问（IP被限制除外等），只是服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证，只能是服务端允许的客户能去访问，安全性相对于要高一些双向认证SSL 协议的具体通讯过程，这种情况要求服务器和客户端双方都有证书。单向认证SSL 协议不需要客户端拥有CA证书，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户端的是没有加过密的（这并不影响SSL过程的安全性）密码方案。这样，双方具体的通讯内容，就是加密过的数据。如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用128位加密通讯的原因。
一般Web应用都是采用单向认证的，原因很简单，用户数目广泛，且无需做在通讯层做用户身份验证，一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接，情况就不一样，可能会要求对客户端（相对而言）做身份验证。这时就需要做双向认证。

证书类型：

虽然ssl证书的制作原理、加密方式大同小异，但在SSL类型上还是有很大区别的。我们经常见到的https网站，地址栏大都是绿色。这些都是使用的EV证书，属于经过正规安全厂商认证，安全级别最高的证书，基本可以认为绿色地址栏的网站不是钓鱼/诈骗网站。其实还有其他类型的https证书，当然它们的价格也是不同的，所以在选购https证书的时候，一定需要看清楚SSL类型，在同类型的证书中选择价格最优的。粗粒度地整理了DV, OV, EV三种SSL证书的区别，如下表

CA证书类别对比

证书类型	DV (Domain Validation)	OV (Organization Validation)	EV (Extended Validation)
申请资料	域名所有权	OV授权书、公司营业执照扫描件等（可搜索查看详情）	EV授权书、公司营业执照扫描件、律师函等（可搜索查看详情）
CA审核方式	机器审核	人工审核	人工审核
申请耗时	小时	一般在几个工作日	一般在几个工作日
绿色地址栏	无	无	有
安全保障	密文传输	密文传输	密文传输
单域名价格Geotrust.com	$49/year (rapidssl)	$199/year	$299/year

Java 制作证书

基本步骤：

使用 java 创建一个 keystore 文件
配置 Tomcat 以使用该 keystore 文件
测试访问
配置应用以便使用 SSL ，例如 https://localhost:8443/yourApp

1. 创建 keystore 文件

执行 keytool -genkey -alias tomcat -keyalg RSA 结果如下

loiane:bin loiane$ keytool -genkey -alias tomcat -keyalg RSA
Enter keystore password:  password
Re-enter new password: password
What is your first and last name?
  [Unknown]:  Loiane Groner
What is the name of your organizational unit?
  [Unknown]:  home
What is the name of your organization?
  [Unknown]:  home
What is the name of your City or Locality?
  [Unknown]:  Sao Paulo
What is the name of your State or Province?
  [Unknown]:  SP
What is the two-letter country code for this unit?
  [Unknown]:  BR
Is CN=Loiane Groner, OU=home, O=home, L=Sao Paulo, ST=SP, C=BR correct?
  [no]:  yes
  
Enter key password for
    (RETURN if same as keystore password):  password
Re-enter new password: password

这样就在用户的主目录下创建了一个 .keystore 文件

2. 配置 Tomcat 以使用 keystore 文件

打开 server.xml 找到下面被注释的这段，并进行修改

<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS" />
-->

<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
    disableUploadTimeout="true" enableLookups="false" maxThreads="25"
    port="8443" keystoreFile="/Users/loiane/.keystore" keystorePass="password"
    protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
    secure="true" sslProtocol="TLS" />

字段配置

属　性	描　　述
clientAuth	如果设为true，表示Tomcat要求所有的SSL客户出示安全证书，对SSL客户进行身份验证
keystoreFile	指定keystore文件的存放位置，可以指定绝对路径，也可以指定相对于<CATALINA_HOME> （Tomcat安装目录）环境变量的相对路径。如果此项没有设定，默认情况下，Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。
keystorePass	指定keystore的密码，如果此项没有设定，在默认情况下，Tomcat将使用“changeit”作为默认密码。
sslProtocol	指定套接字（Socket）使用的加密/解密协议，默认值为TLS，用户不应该修改这个默认值。
ciphers	指定套接字可用的用于加密的密码清单，多个密码间以逗号（,）分隔。如果此项没有设定，在默认情况下，套接字可以使用任意一个可用的密码。

3. 测试

启动 Tomcat 并访问 https://localhost:8443. 你将看到 Tomcat 默认的首页。

需要注意的是，如果你访问默认的 8080 端口，还是有效的。

4. 配置应用使用 SSL

打开应用的 web.xml 文件，增加配置如下：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

将 URL 映射设为 /* ，这样你的整个应用都要求是 HTTPS 访问，而 transport-guarantee 标签设置为 CONFIDENTIAL 以便使应用支持 SSL。如果你希望关闭 SSL ，只需要将 CONFIDENTIAL 改为 NONE 即可。

注意，此时你通过http也是可以访问的，但是服务器会自动的跳转到https的路径上，然后我们要清楚，http的默认端口号是80，而https的默认端口为443。

转载于:https://my.oschina.net/gaoguofan/blog/797999