证书维度:
证书的单向和双向问题,单向认证只要求站点部署了ssl证书就行,任何用户都可以去访问(IP被限制除外等),只是服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对于要高一些双向认证SSL 协议的具体通讯过程,这种情况要求服务器和客户端双方都有证书。 单向认证SSL 协议不需要客户端拥有CA证书,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户端的是没有加过密的(这并不影响SSL过程的安全性)密码方案。这样,双方具体的通讯内容,就是加密过的数据。如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够的安全。这也是我们强调要求使用128位加密通讯的原因。
一般Web应用都是采用单向认证的,原因很简单,用户数目广泛,且无需做在通讯层做用户身份验证,一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接,情况就不一样,可能会要求对客户端(相对而言)做身份验证。这时就需要做双向认证。
证书类型:
虽然ssl证书的制作原理、加密方式大同小异,但在SSL类型上还是有很大区别的。我们经常见到的https网站,地址栏大都是绿色。这些都是使用的EV证书,属于经过正规安全厂商认证,安全级别最高的证书,基本可以认为绿色地址栏的网站不是钓鱼/诈骗网站。其实还有其他类型的https证书,当然它们的价格也是不同的,所以在选购https证书的时候,一定需要看清楚SSL类型,在同类型的证书中选择价格最优的。粗粒度地整理了DV, OV, EV三种SSL证书的区别,如下表
CA证书类别对比
证书类型 | DV (Domain Validation) | OV (Organization Validation) | EV (Extended Validation) |
---|---|---|---|
申请资料 | 域名所有权 | OV授权书、公司营业执照扫描件等(可搜索查看详情) | EV授权书、公司营业执照扫描件、律师函等(可搜索查看详情) |
CA审核方式 | 机器审核 | 人工审核 | 人工审核 |
申请耗时 | 小时 | 一般在几个工作日 | 一般在几个工作日 |
绿色地址栏 | 无 | 无 | 有 |
安全保障 | 密文传输 | 密文传输 | 密文传输 |
单域名价格Geotrust.com | $49/year (rapidssl) | $199/year | $299/year |
Java 制作证书
基本步骤:
- 使用 java 创建一个 keystore 文件
- 配置 Tomcat 以使用该 keystore 文件
- 测试访问
- 配置应用以便使用 SSL ,例如 https://localhost:8443/yourApp
1. 创建 keystore 文件
执行 keytool -genkey -alias tomcat -keyalg RSA 结果如下
loiane:bin loiane$ keytool -genkey -alias tomcat -keyalg RSA
Enter keystore password: password
Re-enter new password: password
What is your first and last name?
[Unknown]: Loiane Groner
What is the name of your organizational unit?
[Unknown]: home
What is the name of your organization?
[Unknown]: home
What is the name of your City or Locality?
[Unknown]: Sao Paulo
What is the name of your State or Province?
[Unknown]: SP
What is the two-letter country code for this unit?
[Unknown]: BR
Is CN=Loiane Groner, OU=home, O=home, L=Sao Paulo, ST=SP, C=BR correct?
[no]: yes
Enter key password for
(RETURN if same as keystore password): password
Re-enter new password: password
这样就在用户的主目录下创建了一个 .keystore 文件
2. 配置 Tomcat 以使用 keystore 文件
打开 server.xml 找到下面被注释的这段,并进行修改
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
disableUploadTimeout="true" enableLookups="false" maxThreads="25"
port="8443" keystoreFile="/Users/loiane/.keystore" keystorePass="password"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
secure="true" sslProtocol="TLS" />
字段配置
属 性 | 描 述 |
---|---|
clientAuth | 如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证 |
keystoreFile | 指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于<CATALINA_HOME> (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。 |
keystorePass | 指定keystore的密码,如果此项没有设定,在默认情况下,Tomcat将使用“changeit”作为默认密码。 |
sslProtocol | 指定套接字(Socket)使用的加密/解密协议,默认值为TLS,用户不应该修改这个默认值。 |
ciphers | 指定套接字可用的用于加密的密码清单,多个密码间以逗号(,)分隔。如果此项没有设定,在默认情况下,套接字可以使用任意一个可用的密码。 |
3. 测试
启动 Tomcat 并访问 https://localhost:8443. 你将看到 Tomcat 默认的首页。
需要注意的是,如果你访问默认的 8080 端口,还是有效的。
4. 配置应用使用 SSL
打开应用的 web.xml 文件,增加配置如下:
<security-constraint>
<web-resource-collection>
<web-resource-name>securedapp</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
将 URL 映射设为 /* ,这样你的整个应用都要求是 HTTPS 访问,而 transport-guarantee 标签设置为 CONFIDENTIAL 以便使应用支持 SSL。如果你希望关闭 SSL ,只需要将 CONFIDENTIAL 改为 NONE 即可。
注意,此时你通过http也是可以访问的,但是服务器会自动的跳转到https的路径上,然后我们要清楚,http的默认端口号是80,而https的默认端口为443。