1.單向認證,就是傳輸的數據加密過了,但是不會校驗客戶端的來源
2.雙向認證,如果客戶端瀏覽器沒有導入客戶端證書,是訪問不了web系統的,找不到地址,想要用系統的人沒有證書就訪問不了系統HTTPS概念
方法/步驟
-
說在前面
-
HTTPS概念
-
HTTPS和HTTP的區別
-
HTTPS的作用
-
SSL簡介
-
SSL提供的服務
-
SSL協議的握手過程
SSL 協議既用到了公鑰加密技術又用到了對稱加密技術,對稱加密技術雖然比公鑰加密技術的速度快,可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和服務器之間完成相互之間的身份認證,其主要過程如下:
①客戶端的瀏覽器向服務器傳送客戶端SSL協議的版本號,加密算法的種類,產生的隨機數,以及其他服務器和客戶端之間通訊所需要的各種信息。
②服務器向客戶端傳送SSL協議的版本號,加密算法的種類,隨機數以及其他相關信息,同時服務器還將向客戶端傳送自己的證書。
③客戶利用服務器傳過來的信息驗證服務器的合法性,服務器的合法性包括:證書是否過期,發行服務器證書的CA 是否可靠,發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”,服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過,通訊將斷開;如果合法性驗證通過,將繼續進行第四步。
④用戶端隨機產生一個用於后面通訊的“對稱密碼”,然后用服務器的公鑰(服務器的公鑰從步驟②中的服務器的證書中獲得)對其加密,然后傳給服務器。
⑤服務器用私鑰解密“對稱密碼”(此處的公鑰和私鑰是相互關聯的,公鑰加密的數據只能用私鑰解密,私鑰只在服務器端保留。詳細請參看: http://zh.wikipedia.org/wiki/RSA%E7%AE%97%E6%B3%95),然后用其作為服務器和客戶端的“通話密碼”加解密通訊。同時在SSL 通訊過程中還要完成數據通訊的完整性,防止數據通訊中的任何變化。
⑥客戶端向服務器端發出信息,指明后面的數據通訊將使用的步驟⑤中的主密碼為對稱密鑰,同時通知服務器客戶端的握手過程結束。
⑦服務器向客戶端發出信息,指明后面的數據通訊將使用的步驟⑤中的主密碼為對稱密鑰,同時通知客戶端服務器端的握手過程結束。
⑧SSL 的握手部分結束,SSL 安全通道的數據通訊開始,客戶和服務器開始使用相同的對稱密鑰進行數據通訊,同時進行通訊完整性的檢驗。
-
HTTPS_SSL配置的步驟:
服務器端單向認證:
第一步:進入jdk的安裝文件路徑下面的bin目錄;
第二步:在bin目錄下輸入以下命令
keytool -genkey -v -alias mykey -keyalg RSA -validity 3650 -keystore c:\sdust.keystore
-dname "CN=你的ip,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 123456 -keypass 123456
說明:
keytool 是JDK提供的證書生成工具,所有參數的用法參見keytool –help
-genkey 創建新證書
-v詳細信息
-alias以”mykey”作為該證書的別名。這里可以根據需要修改
-keyalgRSA 指定算法
-keysize 指定算法加密后密鑰長度
-keystorec:\sdust.keystore保存路徑及文件名
-validity3650證書有效期,單位為天
CN=你的ip,OU=cn,O=cn,L=cn,ST=cn,c=cn 基本信息的配置
CN=你的ip 這個配置務必注意
-storepass 123456789 -keypass 123456789 密碼設置
第三步:生成的文件如下圖所示
第四步:配置tomcat的server.xml文件[1]redirectPort端口號改為:443
<Connector connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="443" useBodyEncodingForURI="true"/>
[2]SSL HTTP/1.1 Connector定義的地方,修改端口號為:443
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="C:/sdust.keystore" keystorePass="123456"
clientAuth="false" sslProtocol="TLS" />
屬性說明:clientAuth:設置是否雙向驗證,默認為false,設置為true代表雙向驗證keystoreFile:服務器證書文件路徑keystorePass:服務器證書密碼truststoreFile:用來驗證客戶端證書的根證書,此例中就是服務器證書truststorePass:根證書密碼
[3] AJP 1.3 Connector定義的地方,修改redirectPort為443
<Connector port="8009" protocol="AJP/1.3" redirectPort="443"/>
第五步: 重新啟動Tomcat就可以了。
附加內容:若要使得應用只能通過https的方式訪問,在該項目的web.xml文件中加入如下代碼:
<login-config><!-- Authorization setting for SSL --><auth-method>CLIENT-CERT</auth-method><realm-name>Client Cert Users-only Area</realm-name></login-config><security-constraint><!-- Authorization setting for SSL --><web-resource-collection><web-resource-name>SSL</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint><!--Require HTTPS for everything except /img (favicon) and /css.--><security-constraint><web-resource-collection><web-resource-name>HTTPSOrHTTP</web-resource-name><url-pattern>*.ico</url-pattern><url-pattern>/img/*</url-pattern><url-pattern>/css/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>NONE</transport-guarantee></user-data-constraint></security-constraint>測試 :在瀏覽器中輸入:https://localhost:8443/,會彈出選擇客戶端證書界面,點擊“確定”,會進入tomcat主頁,地址欄后會有“鎖”圖標,表示本次會話已經通過HTTPS雙向驗證,接下來的會話過程中所傳輸的信息都已經過SSL信息加密。
可能存在的問題:
Eclipse中啟動tomcat7.0,本地tomcat配置文件被eclipse恢復。
問題是這樣的,在eclipse的servers配置項里,將tomcat的啟動配置為了use tomcat location,但是每次在eclipse里publish項目都會把本地G:\tomcate7.0\apache-tomcat-7.0.29\conf下的配置文件(如:tomcat-user.xml添加了用戶等信息)給重置,也就是里面添加的內容被清空了,回復到原來的樣子:
問題解決方案:
你eclipse工程列表中應該 還有個 Servers 工程,下面會有Tomcat7的配置文件,你把里面的對應配置文件改了。每次是用這個文件來覆蓋,tomcat下面的文件的。
特定的目錄實現https訪問
解決方案:
在web.xml文件中配置相應的路徑
<security-constraint><!-- Authorization setting for SSL --><web-resource-collection><web-resource-name>SSL</web-resource-name><url-pattern>/login.html</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>