SSL簡單介紹

SSL(Secure Sockets Layer 安全套接層)就是一種協(xié)議（規(guī)范），用于保障客戶端和服務(wù)器端通信的安全，以免通信時傳輸?shù)男畔⒈桓`取或者修改。

1.怎樣保障數(shù)據(jù)傳輸安全？

客戶端和服務(wù)器端在進(jìn)行握手（客戶端和服務(wù)器建立連接和交換參數(shù)的過程稱之為握手）時會產(chǎn)生一個“對話密鑰”（session key），用來加密接下來的數(shù)據(jù)傳輸，解密時也是用的這個“對話密鑰”，而這個“對話密鑰”只有客戶端和服務(wù)器端知道。也就是說只要這個“對話密鑰”不被破解，就能保證安全。

 2. 客戶端證書和服務(wù)器端證書

客戶端證書和服務(wù)器端證書用于證明自己的身份，就好比每個人都有一張身份證，這種身份證是唯一的。一般來說，只要有服務(wù)器端的證書就可以了，但是有時需要客戶端提供自己的證書，已證明其身份。

Keytool

Keytool 是一個Java數(shù)據(jù)證書的管理工具 ,Keytool將密鑰（key）和證書（certificates）存在一個稱為keystore的文件中在keystore里，包含兩種數(shù)據(jù):密鑰實(shí)體（Key entity）-密鑰（secret key）或者是私鑰和配對公鑰（采用非對稱加密）可信任的證書實(shí)體（trusted certificate entries）-只包含公鑰。下面就來看看利用keytools為tomcat 7配置ssl雙向認(rèn)證的詳細(xì)過程吧。

第一、證書庫、證書等生成

1、生成服務(wù)器證書庫

• -validity 36500 有效期，以天為單位
• CN 這項(xiàng)一定是服務(wù)器的域名或者IP地址
• OU 組織單位
• O 組織
• L 區(qū)域
• ST 州/省份
• C 國家

2、客戶端證書

-storetype PKCS12 主要是為了將證書導(dǎo)入IE/firefox 中。

將生成的證書導(dǎo)入IE中。

3、將客戶端證書導(dǎo)入服務(wù)器端證書庫

服務(wù)器端證書不識別 p12格式的證書，需要從客戶端證書導(dǎo)出 CER格式證書，然后將CER格式證書導(dǎo)入到服務(wù)器端證書中。

然后將client.cer 導(dǎo)入到服務(wù)器證書庫(使用下面任意一個命令)

注意：這里的別名，如果不加別名，則默認(rèn)別名則是 mykey，所以見到mykey 請不要吃驚。

4、從服務(wù)器證書庫導(dǎo)出服務(wù)器證書

該證書可以導(dǎo)入瀏覽器中，讓客戶端信任服務(wù)器證書。不導(dǎo)入也不影響使用，但瀏覽器會不信任服務(wù)器證書，會提示錯誤信息。

5、查看證書庫中的所有證書

第二、Tomcat 配置

配置 server.xml

啟動tomcat 就可以了。

問題

如果啟動時報如下錯誤：

則是由于Tomcat中的SSL采用了 APR來實(shí)現(xiàn)的，關(guān)于SSL的實(shí)現(xiàn)，Tomcat提供了兩種：JSSE和APR，如果安裝了 APR，則優(yōu)先選擇APR作為實(shí)現(xiàn)。

APR的ssh配置需要通OpenSSH來進(jìn)行配置。這在 server.xml 中有說明：

那么避免采用 APR呢？ 有兩種方法，

1，將 protocol=”HTTP/1.1” 修改為 protocol=”org.apache.coyote.http11.Http11Protocol”

2，在windows 下，可以將 bin 目錄下的 tcnative-1.dll 刪掉。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作能帶來一定的幫助，如果有疑問大家可以留言交流。