企業建站知識推廣知識小程序微信營銷 APP開發前端設計 MindManager 開發語言自媒體

搭建本地HTTPS環境

發表日期：2018-09 文章編輯：小燈瀏覽次數：2753

HTTPS 是http的擴展，簡單來說就是在 HTTP 協議基礎上加了一層TLS/ SSL 加密協議。

Hypertext Transfer Protocol Secure (HTTPS) is an extension of the Hypertext Transfer Protocol (HTTP) for secure communication over a computer network, and is widely used on the Internet.[1][2] In HTTPS, the communication protocol is encrypted using Transport Layer Security (TLS), or formerly, its predecessor, Secure Sockets Layer (SSL). The protocol is therefore also often referred to as HTTP over TLS,[3] or HTTP over SSL.
摘自Wikipedia HTTPS

2.2 TLS和SSL

兩種保護通信安全和數據完整性的協議，可以當做并列，前后關系。

傳輸層安全性協議（Transport Layer Security），及其前身安全套接層（Secure Sockets Layer）是一種安全協議，目的是為互聯網通信提供安全及數據完整性保障。
摘自Wikipedia TLS

2.3 證書

2.3.1 什么是證書

證書由第三方 CA 認證機構頒發，網站所有者向 CA 機構申請證書，證書中包含了公鑰、頒證機構、網址、失效日期。如果網站使用假冒證書，瀏覽器向 CA 認證機構發送證書是否合法的請求，如果檢測非法證書，瀏覽器可以直接斷開請求。

簡而言之，證書是服務器端和客戶端安全通信的憑證。

2.3.2 常見SSL證書格式

根據不同的服務器以及服務器的版本，我們需要用到不同的證書格式，就市面上主流的服務器來說，大概有以下格式：

.DER .CER，文件是二進制格式，只保存證書，不保存私鑰。
.PEM，一般是文本格式，可保存證書，可保存私鑰。
.CRT，可以是二進制格式，可以是文本格式，與 .DER 格式相同，不保存私鑰。
.PFX .P12，二進制格式，同時包含證書和私鑰，一般有密碼保護。
.JKS，二進制格式，同時包含證書和私鑰，一般有密碼保護。

具體可查看SSL證書格式普及。

2.3.3 CSR，KEY和X.509

CSR 是Certificate Signing Request的縮寫，即證書簽名請求，這不是證書，可以簡單理解成公鑰，生成證書時要把這個提交給權威的證書頒發機構。
KEY 通常指私鑰
X.509 是一種證書格式.對X.509證書來說，認證者總是CA或由CA指定的人，一份X.509證書是一些標準字段的集合，這些字段包含有關用戶或設備及其相應公鑰的信息。

3. 兩種渠道獲得SSL證書

3.1 自簽

一般本地測試使用這種方法
由于我使用tomcat作為web容器，這里就用java自帶keytool工具生成。

3.1.1 cmd輸入keytool命令

keytool -genkey -alias cas -keyalg RSA -keysize 2048-keypass changeit -storepass changeit -keystore httptestkian.jks-dname "CN=http://httptestkian.com/,OU=httptestkian.com,O=httptestkian,L=httptestkian,ST=httptestkian,C=CN"

使用的參數含義

參數名稱	參數含義
-genkey	在用戶主目錄中創建一個默認文件”.keystore”,還會產生一個mykey的別名，mykey中包含用戶的公鑰、私鑰和證書
-alias	產生別名缺省值”mykey”
-keyalg	指定密鑰的算法 (如 RSA DSA（如果不指定默認采用DSA）)
-keysize	指定密鑰長度缺省值1024
-keypass	指定別名條目的密碼(私鑰的密碼)
-storepass	指定密鑰庫的密碼(獲取keystore信息所需的密碼)
-keystore	指定密鑰庫的名稱(產生的各類信息將不在.keystore文件中)
-dname	指定證書擁有者信息例如： “CN=名字與姓氏,OU=組織單位名稱,O=組織名稱,L=城市或區域名稱,ST=州或省份名稱,C=單位的兩字母國家代碼”

再列一些keytool常用的例子

# 把密鑰庫導出成證書文件 keytool -export -alias cas.server.com -keystore casServer.keystore -file casServer.crt -storepass changeit # 查看證書 keytool -printcert -file casServer.crt # 將創建過的證書導入java的cacerts證書庫(需要管理員權限) # 切換到目錄 ${JAVA_HOME}/jre/lib/security keytool -import -alias cas.server.com -keystore cacerts -file casServer.keystore # 查看JDK證書內容 keytool -list -v -keystore cacerts -alias cas.server.com # 根據 alias 別名刪除 JDK 證書， JDK證書目錄： cd 'C:\Program Files (x86)\Java\jdk1.8.0_172\jre\lib\security\' keytool -delete -alias cas.server.com -keystore cacerts

如果對命令不熟悉，可以使用在線工具CSR在線生成工具生成

3.JPG
點擊KeyTool生成即可獲得命令，將命令粘貼到命令行執行即可。

1.JPG

3.2 第三方CA頒發

一般是收費的，但是指定域名一年使用騰訊阿里都可以免費生成，前提條件是你擁有一個域名。
比如說騰訊云，SSL免費購買鏈接

4.JPG
具體步驟參照官方指引。
購買成功并驗證域名之后可下載證書文檔，比如說申請的為www.testdomain.com，則下載文件為www.testdomain.com.zip。文件中包含針對IIS，tomcat，nginx等多種web容器適用的證書文件。

4.配置tomcat實現HTTPS

修改conf/server.xml文件

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig><Certificate certificateKeystoreFile="D:/temp/httptestkian.com.jks"certificateKeystorePassword="changeit" type="RSA" /></SSLHostConfig> </Connector>

重啟tomcat服務，瀏覽器中輸入https://localhost:8443/cas/login

2.JPG

5. tomcat8配置HTTP自動跳轉HTTPS

在conf/web.xml中</welcome-file-list>節點后面添加

<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>

6. 結語

如有疑問，歡迎留言共同探討。

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.kwpm.com.cn/20398.html

上一篇：<Corda網絡的證書簽發下一篇：iOS安全系列之二：HTTPS進階>