tomcat配置https协议(SSL机制)

以下为实际项目中tomcat配置https协议

一、概念解释：

HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输，于是网景公司设计了 SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定义在RFC 6101中，之后IETF对SSL 3.0进行了升级，于是出现了TLS（Transport Layer Security） 1.0，定义在RFC 2246。

实际上我们现在的HTTPS都是用的TLS协议，但是由于SSL出现的时间比较早，并且依旧被现在浏览器所支持，因此SSL依然是HTTPS的 代名词，但无论是TLS还是SSL都是上个世纪的事情，SSL最后一个版本是3.0，今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前 TLS的版本是1.2，定义在RFC 5246中，暂时还没有被广泛的使用。

二、Https的工作原理

HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。

TLS/SSL协议不仅仅是一套加密传输的协议，更是一件经过艺术家精心设计的艺术品，TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的简单描述如 下： 1.浏览器将自己支持的一套加密规则发送给网站。
2.网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。 

3.获得网站证书之后浏览器要做以下工作：
a) 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。
b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。
4.网站接收浏览器发来的数据之后要做以下的操作：
a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。
b) 使用密码加密一段握手消息，发送给浏览器。
5.浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下： 

非对称加密算法：RSA，DSA/DSS 

对称加密算法：AES，RC4，3DES 

HASH算法：MD5，SHA1，SHA256
其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。由于浏览器生成的密 码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而网站的私钥用于对数据进行解密，所以网站都会非常小心的保管自己的私钥，防止泄漏。 TLS握手过程中如果有任何错误，都会使加密连接断开，从而阻止了隐私信息的传输。 

三、Tomcat配置HTTPS方式

准备工作：服务器tomcat7，jdk1.7

1.用jdk自带的keytool工具生成服务器证书：

cd进入jdk目录或者如下方式进入：

假定目标机器域名:127.0.0.1或者localhost，keystore存放路径：D:\home\tomcat.keystore(首先在D盘下创建目录home)

生成服务器证书命令：

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500

备注：

-genkey表示生成密钥  

-validity指定有效期，天单位，36500表示100年，默认值是90天 

-alias指定密钥别名，这里是tomcat  

-keyalg指定密钥算法，这里是RSA

-keypass 指定密钥别名密码  

-keysize 指定密钥长度字节数，如1024 

-keystore指定密钥文件存储位置和密钥文件名称

安装提示输入用户名，组织，地区，国家等，即可正确生成，该步为服务器生成了证书。 

您的名字与姓氏是什么？这个要重点注意,其实是让你输入应用的域名本地测试或者开发请设置为localhos真实环境需输入真实的应用域名，就是你将来要在浏览器中输入的访问地址：如你的域名为www.bbcdemo.qjcloud.com,106.15.35.211

"tomcat”为自定义证书名称 

进入到D盘根目录下可以看到已经生成tomcat.keystore文件。

若单向认证的话，到这一步即可。

配置tomcat下conf/server.xml，找到83行,注意protocol="HTTP/1.1"

备注：

clientAuth:设置是否双向验证，默认为false，则为单向SSL验证，SSL配置可到此结束。设置为true代表双向验证，表示强制双向SSL验证 ，必须验证客户端证书。如果clientAuth设置为“want”，则表示可以验证客户端证书，但如果客户端没有有效证书，也不强制验证。 true是 服务器不会颁发证书必须由客户端导入 。

keystoreFile:服务器证书文件路径 如D:\\home\\tomcat.keystore

keystorePass:服务器证书密码  如生成服务器证书设置的密码

truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书（双向认证时，是客户端证书 ）

truststorePass:根证书密码

到此这个设置结束，则如下是浏览器访问：

用chrom浏览器访问：

点击高级继续前往，能够正常访问项目表示设置成功

用火狐浏览器访问：

将生成的证书添加到例外后，能够正常访问项目表示成功：

单向认证只需站点部署了ssl证书就行，任何用户都可以去访问（IP被限制除外等），只是服务端提供了身份认证。

双向认证是服务端需要客户端提供身份认证，也就是只能是服务端允许的客户能去访问，安全性相对于要高一些。

一般web应用都是采用单向认证的，原因很简单，用户数目广泛，且无需做在通讯层做用户身份验证，一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接，情况就不一样，可能会要求对client（相对而言）做身份验证。这时需要做双向认证。

若想双向认证，则进行如下操作：

2.为客户端生成证书：

为浏览器客户端生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：    

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 -validity 3650

备注：

mykey为自定义，

对应的客户端证书库存放在“D:\home\mykey.p12”，客户端的CN可以是任意值。双击mykey.p12文件，即可将证书导入至浏览器（客户端）。这种方法只能导入到IE中，不能导入到火狐浏览器中。

3.让服务器信任客户端证书

由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

keytool  -export  -alias  mykey  -keystore  D:\home\mykey.p12  -storetype  PKCS12  -storepass  qjbbc123  -rfc  -file D:\home\mykey.cer

(mykey为自定义与客户端定义的mykey要一致，password是你设置的密码)。通过以上命令，客户端证书就被我们导出到“D:\home\mykey.cer”文件了。

下一步，是将该文件导入到服务器的证书库，添加为一个信任证书使用命令如下：

keytool -import -v -file D:\home\mykey.cer-keystore D:\home\tomcat.keystore

通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

keytool -list-keystore D:\home\tomcat.keystore 

(tomcat为你设置服务器端的证书名)或者指定别名查看证书 

keytool  -list  -alias  tomcat  -keystore  D:\home\tomcat.keystore

4.让客户端信任服务器证书

由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，使用如下命令：

keytool-keystore D:\home\tomcat.keystore -export -alias tomcat -fileD:\home\tomcat.cer

(tomcat为你设置服务器端的证书名)。

 通过以上命令，服务器证书就被我们导出到“D:\home\tomcat.cer”文件了。双击tomcat.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

生成所有文件如下：

双击"tomcat.cer"安装证书步骤如下：

最后如步骤一一样配置tomcat下conf/service.xml，找到83行，注意protocol="HTTP/1.1"

然后重新启动服务器，查看是否正常访问。