HTTPS和HTTP的區別
一、HTTP 是超文本傳輸協議,信息是明文傳輸,HTTPS 則是具有安全性的 SSL 加密傳輸協議。
二、HTTPS 協議需要到 CA 申請證書,一般免費證書很少,需要交費。
三、HTTP 和 HTTPS 使用的是完全不同的連接方式,用的端口也不一樣,前者是 80,后者是 443。
四、HTTP 的連接很簡單,是無狀態的;HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議,比 HTTP 協議安全。
一.本地配置:
1.Ctrl+R打開命令,錄入cmd進入控制台;
2.找到jdk安裝目錄,已我的為例:D:\Java\jdkbobo\jdk1.6.0_45\bin ;
進入該目錄,執行如下命令:keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore"
接着會讓你填寫一些基本信息。
下面簡要介紹一下。
密鑰庫口令:123456(這個密碼非常重要)
名字與姓氏:127.0.0.1(以后訪問的域名或IP地址,非常重要,證書和域名或IP綁定)
組織單位名稱:anything(隨便填)
組織名稱:anything(隨便填)
城市:anything(隨便填)
省市自治區:anything(隨便填)
國家地區代碼:anything(隨便填)
3、配置Tomcat服務器
a、打開tomcat配置文件,如:D:/apache-tomcat-6.0.29/conf/server.xml,修改如下,
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"/>
-->
去掉注釋且修改參數=>
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="D:/tomcat.keystore" keystorePass="123456789"/>
其中,keystoreFile是上一步生成的證書文件地址,keystorePass是上一步的密鑰庫口令。
b、注釋conf\server.xml文件中下面一行。
<!--<Listener SSLEngine="on" className="org.apache.catalina.core.AprLifecycleListener"/>-->
最后訪問鏈接:https://127.0.0.1:8443/telesalesNew/
點擊高級繼續訪問即可
二、服務器配置
1、為服務器生成證書
進入控制台,切換到%JAVA_HOME%/bin目錄,具體操作略。(打開DOS窗口,通過命令進入到jdk的bin目錄下。下邊所有步驟都是在此路徑下完成。)
使用keytool為Tomcat生成證書,假定目標機器的域名是“localhost”,keystore文件想要存放在“D:\home\tomcat.keystore”,口令為“password”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500
(參數簡要說明:“D:\home\tomcat.keystore”含義是將證書文件的保存路徑(其中D:\home,是你自己新建的,而tomcat.keystore才是自動生成的,所以要提前在某個盤下新建某個文件夾,以便放自動生成的文件,名字可以自己取,后邊統一都用這個文件夾放自動生成的文件),證書文件名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,默認值是90天 “tomcat”為自定義證書名稱)。
在命令行填寫必要參數:
A、 輸入keystore密碼:此處需要輸入大於6個字符的字符串。
B、 “您的名字與姓氏是什么?”這是必填項,並且必須是TOMCAT部署主機的域名或者IP[如:gbcom.com 或者 10.1.25.251](就是你將來要在瀏覽器中輸入的訪問地址),否則瀏覽器會彈出警告窗口,提示用戶證書與所在域不匹配。在本地做開發測試時,應填入“localhost”。(這塊很重要)
C、 你的組織單位名稱是什么?”、“您的組織名稱是什么?”、“您所在城市或區域名稱是什么?”、“您所在的州或者省份名稱是什么?”、“該單位的兩字母國家代碼是什么?”可以按照需要填寫也可以不填寫直接回車,在系統詢問“正確嗎?”時,對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n”重新填寫上面的信息。
D、 輸入<tomcat>的主密碼,這項較為重要,會在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設置其它密碼也可以,完成上述輸入后,直接回車則在你在第二步中定義的位置找到生成的文件。
2、為客戶端生成證書
為瀏覽器生成證書,以便讓服務器來驗證它。為了能將證書順利導入至IE和Firefox,證書格式應該是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12
(mykey為自定義)。
對應的證書庫存放在“D:\home\mykey.p12”,(這一塊的解釋與第一步相同)客戶端的CN可以是任意值。雙擊mykey.p12文件,即可將證書導入至瀏覽器(客戶端)(我統一勾選的信任於本計算機包括下邊第四部)。
3、讓服務器信任客戶端證書
由於是雙向SSL認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加為服務器的信任認證。由於不能直接將PKCS12格式的證書庫導入,必須先把客戶端證書導出為一個單獨的CER文件,使用如下命令:
keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer
(mykey為自定義與客戶端定義的mykey要一致,password是你設置的密碼)。通過以上命令,客戶端證書就被我們導出到“D:\home\mykey.cer”文件了。
下一步,是將該文件導入到服務器的證書庫,添加為一個信任證書使用命令如下:
keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore
通過list命令查看服務器的證書庫,可以看到兩個證書,一個是服務器證書,一個是受信任的客戶端證書:
keytool -list -keystore D:\home\tomcat.keystore
(tomcat為你設置服務器端的證書名)。
4、讓客戶端信任服務器證書
由於是雙向SSL認證,客戶端也要驗證服務器證書,因此,必須把服務器證書添加到瀏覽的“受信任的根證書頒發機構”。由於不能直接將keystore格式的證書庫導入,必須先把服務器證書導出為一個單獨的CER文件,使用如下命令:
keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer
(tomcat為你設置服務器端的證書名,這一步我當時不知道前邊這半句所說的證書名是哪個,所以沒有更改,直接按照上邊的命令做的運行)。
通過以上命令,服務器證書就被我們導出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件,按照提示安裝證書,將證書填入到“受信任的根證書頒發機構”。
5、配置Tomcat服務器
a、(1)打開tomcat配置文件,如:D:/apache-tomcat-6.0.29/conf/server.xml,修改如下,
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> 修改參數=> <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> (記得嘗試第一個教程時候說讓把8080改成8083,最后沒有成功。在這里就按照上邊的改法去改)
(2)
<!-- <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"/> -->
去掉注釋且修改參數=>(當然也可以不去掉注釋,直接將下邊這段加在上邊這段注釋的后邊,記得更改里邊的keystoreFile、keystorePass 兩個參數)
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456789"/>
注釋:
keystoreFile、keystorePass 兩個參數,分別是證書文件的位置和<tomcat>的主密碼(位置是剛才自動生成的文件存儲的位置,密碼是剛才設置的密碼),在證書文件生成過程中做了設置
(3)
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />
修改參數=>
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />
(我的里邊沒有enableLookups="false"這一項,我也按照上邊的方法加上了這句)
b、打開D:/apache-tomcat-6.0.29/conf/web.xml,在該文件</welcome-file-list>后面加上這樣一段:
<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
我在做完這個教程后,運行https://localhost發現還有錯誤。再找了幾個教程之后發現需要注釋conf\server.xml文件中下面一行。
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->