在tomcat中配置SSL-基础学习笔记

一、SSL简介
1、什么是SSL?
SSL(Server Socket Layer)是一种保证网络上的两个节点进行安全通信的协议.
IETF(Internet Engineering Task Force)组织了对SSL做了标准化，制定了RFC2246规范，称为TLS（Transport Layer Security).

2、SSL和TLS建立在TCP/IP协议的基础上
SSL采用加密技术来实现安全通信，保证通信数据的保密性和完整性，并且保证通信双方可以验证对方的身份。

3、加密通信
加密技术的原理：数据从一端发送到另一端时，发送者先对数据加密，然后再发给接收者。这样，在网络上传输的是经过加密的数据。接受者接收到加密的术后，先对数据解密，然后再处理。

4、安全证书
SSL除了对数据加密通信，还采用了身份认证机制，确保通信双方都可以验证对方的真实身份。
SSL通过安全证书来证明客户或服务器的身份。
获取安全证书的有两种方式，一种方式从权威机构购买证书，还有一种方式是创建自我签名的证书。
4.1从权威机构获取证书
由国际权威证书机构（Certificate Authority,CA）如VeriSign（www.versign.com）或Thawte(www.thawte.com)颁发。一个安全证书只对一个IP地址有效，如果用户的系统环境中有多个IP地址，那么必须为每一个IP地址购买安全证书。
4.2创建自我签名证书
只需关心数据在网络上安全传输，，并不需要对方进行身份验证。在这种情况下，可创建自我签名（self-assign)的证书，比如sun公司的keytool工具就可以创建。

5、SSL握手
安全证书既包含了用于加密数据的密钥，又包含了用于证实身份的数字签名。公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥和私钥组成。用公钥加密的数据只能用私钥 解密，反过来，私钥加密的数据只能被公钥解密。
安全证书包含了这一非对称的密钥。
客户和服务器通信，首先进行SSL握手，主要完成以下任务：
A、协商使用的加密套件。加密套件包括一组加密参数，这些参数置顶了加密算法和密钥的长度等信息。
B、验证对方的身份，此操作是可选的。
C、确定使用的加密算法。
SSL流程如下：
（1）客户将自己的SSL版本号、加密参数、与SSL会话有关的数据及其他一些必要信息发送到服务器。
（2）服务器将自己的SSL版本号、加密参数、与SSL会话有关的数据及其他一些必要信息发送给客户，同时包括服务器的证书，如果需要验证客户身份，还会发出要求客户提供安全证书的请求。
（3）客户端验证服务器证书，如果失败，就提示不能简历SSL链接，如果成功则进行下一步。
（4）客户端为本次SSL会话生成预备主密码（pre-master secret）,并将其服务器公钥加密后发送给服务器。
（5）如果服务器要求验证客户身份，客户端还要再对另外一些数据签名后，将其与客户端证书一起发送给服务器。
（6）如果服务器要求验证客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表，结束本次对话。如果检查通过，服务器用自己的私钥解密收到的预备主密码，并用他通过某些算法生成本次会话的主密码（master-secret).
（7）客户端与服务器均使用此主密码生成本次会话的密钥（对称密钥），在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称比非对称的运算量低一个数量级以上，能够提高双方会话时的运算速度。
（8）客户端通知服务器此后发送的消息都使用这个会话密钥进行加密，并通知服务器客户端已经完成本次SSL握手。
（9）服务器通知客户端此后发送的消息都使用这个会话密钥进行加密，并通知客户端服务器已经完成本次SSL握手
（10）本次握手结束，SSL会话建立。

二、在Tomcat中使用SSL
1、如果tomcat在非独立模式下工作，通常不必配置SSL，由它从属的HTTP服务器来实现和客户的SSL通信。
为Tomcat配置SSL，包含两个以下步骤：A、准备安全证书。B、配置Tomcat的SSL连接器（connector）
工具：keytool，在JDK1.4以上版本中包含了这一工具，位置\bin\keytool.exe,也可到http://java.sun.com/products/jsse/站点单独下载keytool
通过keytool工具创建证书的命令为：
keytool -genkey -alias tomcat -keyalg RSA
-genkey：生成一对非对称密钥
-alias：指定密钥对的别名，该别名是公开的
-keyalg：指定加密算法，比如RSA。
输入以上命令之后生成名为.keystore的文件，在windows中，位置为：c:\Documents and Settings\user.keystore,在linux的位置为：home\user.keystore
如果keystrore文件放到其他位置，则加上 -keystore参数，指定存放位置，比如：
-keystore C:\mypath\test.keystore
2、配置SSL连接器
把元素的注释去掉即可，基于SSL的HTTPS的默认端口为443。
SSL Connerctor的属性：
clientAuth:如果设置为true,表示Tomcat要求所有的SSL客户出示安全证书，对SSL客户进行验证。
keystoreFile:指定keystore文件的存放位置，可以为绝对路径，也可以指定相对于环境变量的相对路径，如果没有设定，则从用户目录下读取.keystore文件
keystorePass:指定keystore的密码，如果此项没有设定，默认为changeit;
sslProtocol；指定套接字（socket）使用的加密/解密协议，默认TLS，一般不修改。
ciphers:指定套接字可用的用于加密的密码清单，多个密码间以逗号分隔。如没有设定，在默认情况下套接字可以使用任意一个可用的密码。

以上的很多文字其实可以用一个简单的图搞定的，可是，没找到画图的工具，下次再传吧。。。