目录
一、理论
1.SSL
2.HTTPS协议和HTTP协议的区别
3.https证书配置
4.tomcat强制使用https
二、实验
1.https证书配置过程
2.tomcat强制使用https
三、总结
(1)概念
SSL是网络加密传输协议,是支持在网络服务器(主机)与网页浏览器(客户端)间建立加密连接的标准技术。当网站安装SSL数字证书之后,可通过https访问网站,浏览器地址栏显示“锁的标识”,点击锁型标识显示单位/个人认证信息,这种证书也是类似于驾驶证、护照和营业执照的电子副本,因为配置在服务器上,也称为SSL服务器证书。
(2)优势
①提升企业形象当企业网站安装了一个权威证书签发机构签发的ssl证书,能够突显网站的专业性,而且还能提升网站访问者的信任度,大大提升企业的形象和可信度。
②提升网站访问者的信任度若你的网站需要使用个人信息来登录,那就必须要安装ssl证书,访问者看到他们的个人信息能够被很好地保护,肯定会加深对网站的信任。
③吸引更多的顾客当线销售网站安装了ssl证书之后,那么肯定会吸引更多的顾客前来购买并且付款,因为对于他们来说,ssl证书也算是一重保障。
(1)http
http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。http的连接很简单,是无状态的 。
(2)https
https协议需要到ca申请证书,一般免费证书很少,需要交费。
(3)不同点
http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议, 要比http协议安全。
(1)环境准备
为了成功配置https,你需要具备以下环境:
java jdk
tomcat
(2)JKS格式证书生成
JAVA中有自带的证书生成工具keytool,使用keytool来生成tomcat的证书
keytool -genkeypair -alias 'tomcat' -keyalg 'RSA' -keystore '/usr/local/tomcat/conf/tomcat.keystore'
命令解释:
alias: 别名 这里我起名testKey
keyalg: 证书算法,RSA
validity:证书有效时间,10年
keystore:证书生成的目标路径和文件名
(3)修改tomcat主配置文件server.xml
去掉注释,并将keystoreFile和keystorePass处替换成自己的证书路径和生成证书时的口令即可.
Tomcat既支持使用http协议,又支持使用https协议。https协议是一种不安全的传输协议,内容会以明文的形式进行传输,因此,在生产环境中,我们通常设置强制tomcat使用https协议,当有人使用http协议访问8080端口时,将该访问请求强制性重定向到8443端口上去。
要实现Tomcat对http协议的强制性重定向,我们需要打开conf目录下的web.xml文件,在文件的下方,添加如下内容:
CLIENT-CERT
Client Cert Users-only Area
SSL
/*
CONFIDENTIAL
(1)JKS格式证书生成
① 打开终端或者命令行输入命令,回车,然后输入信息,其中秘钥库口令和秘要口令最好输入同一个,并且记下这个口令,其他按需填
(2)在tomcat中配置https
①把keystore证书上传到tomcat服务器上(tomcat在本地可以不移动),并记下证书所在路径。
/usr/local/tomcat/conf/tomcat.keystore
② 配置tomcat使用该证书,并开放8443端口,支持https。打开tomcat的主配置文件,找到8080端口的connector元素,在下面添加如下内容:
③ 关闭并重启tomcat
④ 监听端口
其中keystoreFile参数指定的是证书文件的位置,而keystorePass参数指定的是生成该证书的密码。tomcat就支持使用https了,并且监听端口为8443。重启Tomcat,发现Tomcat在启动后会监听8443端口,如下所示:
⑤用浏览器进行访问
(1)配置conf目录下的web.xml文件
(2)测试
启Tomcat服务,再次尝试使用HTTP协议访问Tomcat的8080端口,就会被重定向到8443端口,使用https协议。
http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议, 要比http协议安全。
JAVA中有自带的证书生成工具keytool,用来生成tomcat的证书。