`
2277259257
  • 浏览: 515639 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

https协议及 tomcat https访问设置 默认http也变成https

 
阅读更多

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容请看SSL。
  它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
  它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
  也就是说它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
  限制
  它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
  一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试抓取数据于传输中。
  商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关,仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。
  TLS 1.1之前
  这段仅针对TLS 1.1之前的状况。因为SSL位于http的下一层,并不能理解更高层协议,通常SSL服务器仅能颁证给特定的IP/端口组合。这是指它经常不能在虚拟主机(基于域名)上与HTTP正常组合成HTTPS。
  这一点已被更新在即将来临的TLS 1.1中—会完全支持基于域名的虚拟主机。
  SSL介绍
  SSL (Secure Socket Layer)
  为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络
  上之传输过程中不会被截取及抓取。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全
  标准,但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。
  当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
  SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
  SSL协议提供的服务主要有:
  1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
  2)加密数据以防止数据中途被窃取;
  3)维护数据的完整性,确保数据在传输过程中不被改变。
  SSL协议的工作流程:
  服务器认证阶段:1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
  用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
  从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和 MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
  SSL协议的握手过程 为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:
  ①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
  ②服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。
  ③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
  ④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
  ⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
  ⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
  ⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
  ⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
  ⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
  ⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
  双向认证 SSL 协议的具体过程
  ① 浏览器发送一个连接请求给安全服务器。
  ② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。
  ③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的,询问客户是否需要继续。
  ④ 接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。
  ⑤ 服务器要求客户发送客户自己的证书。收到后,服务器验证客户的证书,如果没有通过验证,拒绝连接;如果通过验证,服务器获得用户的公钥。
  ⑥ 客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。
  ⑦ 服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用客户的公钥加过密后通知浏览器。
  ⑧ 浏览器针对这个密码方案,选择一个通话密钥,接着用服务器的公钥加过密后发送给服务器。
  ⑨ 服务器接收到浏览器送过来的消息,用自己的私钥解密,获得通话密钥。
  ⑩ 服务器、浏览器接下来的通讯都是用对称密码方案,对称密钥是加过密的。
  上面所述的是双向认证 SSL 协议的具体通讯过程,这种情况要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有 CA 证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够的安全。这也是我们强调要求使用 128 位加密通讯的原因。
  证书各部分的含义
  <FONT face=宋体>Version 证书版本号,不同版本的证书格式不同
  Serial Number 序列号,同一身份验证机构签发的证书序列号唯一
  Algorithm Identifier 签名算法,包括必要的参数 Issuer 身份验证机构的标识信息
  Period of Validity 有效期
  Subject 证书持有人的标识信息
  Subject’s Public Key 证书持有人的公钥
  Signature 身份验证机构对证书的签名</FONT>
  证书的格式 认证中心所发放的证书均遵循 X.509 V3 标准,其基本格式如下:
  证书版本号(Certificate Format Version)
  含义:用来指定证书格式采用的 X.509 版本号。
  证书序列号(Certificate Serial Number)
  含义:用来指定证书的唯一序列号,以标识 CA 发出的所有公钥证书。
  签名(Signature) 算法标识(Algorithm Identifier)
  含义:用来指定 CA 签发证书所用的签名算法。
  签发此证书的 CA 名称(Issuer )
  含义:用来指定签发证书的 CA 的 X.500 唯一名称(DN, Distinguished Name)。
  证书有效期(Validity Period) 起始日期(notBefore) 终止日期(notAfter)
  含义:用来指定证书起始日期和终止日期。
  用户名称(Subject)
  含义:用来指定证书用户的 X.500 唯一名称(DN,Distinguished Name)。
  用户公钥信息(Subject Public Key Information) 算法(algorithm)算法标识(Algorithm Identifier) 用户公钥(subject Public Key)
  含义:用来标识公钥使用的算法,并包含公钥本身。
  证书扩充部分(扩展域)(Extensions)
  含义:用来指定额外信息。 
  X.509 V3 证书的扩充部分(扩展域)及实现方法如下:
  CA 的公钥标识(Authority Key Identifier)
  公钥标识(SET 未使用)(Key Identifier)
  签发证书者证书的签发者的甄别名(Certificate Issuer)
  签发证书者证书的序列号(Certificate Serial Number)
  X.509 V3 证书的扩充部分(扩展域)及实现CA 的公钥标识(Authority Key Identifier)
  公钥标识(SET 未使用)(Key Identifier)
  签发证书者证书的签发者的甄别名(Certificat签发证书者证书的序列号(Certificate Serial Number)
  含义:CA 签名证书所用的密钥对的唯一标识用户的公钥标识(Subject Key Identifier) 
  含义:用来标识与证书中公钥相关的特定密钥进行解密。
  证书中的公钥用途(Key Usage)
  含义:用来指定公钥用途。
  用户的私钥有效期(Private Key Usage Period) 起始日期(Note Before)终止日期(Note After)
  含义:用来指定用户签名私钥的起始日期和终止日期。
  CA 承认的证书政策列表(Certificate Policies)
  含义:用来指定用户证书所适用的政策,证书政策可由对象标识符表示。
  用户的代用名(Substitutional Name)
  含义:用来指定用户的代用名。
  CA 的代用名(Issuer Alt Name)
  含义:用来指定 CA 的代用名。
  基本制约(Basic Constraints)
  含义:用来表明证书用户是最终用户还是 CA。 在 SET 系统中有一些私有扩充部分(扩展域)Hashed Root Key 含义:只在根证书中使用,用于证书更新时进行回溯。
  证书类型(Certificate Type)
  含义:用来区别不同的实体。该项是必选的。
  商户数据(Merchant Data)
  含义:包含支付网关需要的所有商户信息。
  持卡人证书需求(Card Cert Required)
  含义:显示支付网关是否支持与没有证书的持卡人进行交易。
  SET 扩展(SETExtensions)
  含义:列出支付网关支持的支付命令的 SET 信息扩展。
  CRL 数据定义版本(Version)
  含义:显示 CRL 的版本号。
  CRL 的签发者(Issuer)
  含义:指明签发 CRL 的 CA 的甄别名。
  CRL 发布时间(this Update) 预计下一个 CRL 更新时间(Next Update)撤销证书信息目录(Revoked Certificates) CRL 扩展(CRL Extension) CA 的公钥标识(Authority Key Identifier) CRL 号(CRL Number)
////////////////////////////////////////////////////////////

前几天客户提出要强制使用HTTPS方式访问Tomcat中的相关项目,于是研究了下,现将具体的步骤写下:

    主要分2步:让tomcat能使用https--->强制使用https访问

1.让tomcat能使用https

  A.在运行命令JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg 
    RSA  -keystore     C:\Tomcat\GMAE3.0Tomcat\tomcat.keystore
    这样就生成了证书,将证书放到合适的地方(任意地方都可以)

  B.打开tomcat目录下的server.xml文件并找到关于ssl的相关段
    Java代码
<!-- Define a SSL HTTP/1.1 Connector on port 8443 
This connector uses the JSSE configuration, when using APR, the   
connector should be using the OpenSSL style configuration  
described in the APR documentation -->  
<!--<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
maxThreads="150" scheme="https" secure="true" 
clientAuth="false"  sslProtocol="TLS" />-->  

    <!-- Define a SSL HTTP/1.1 Connector on port 8443
    This connector uses the JSSE configuration, when using APR, the
    connector should be using the OpenSSL style configuration
    described in the APR documentation -->
    <!--<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false"  sslProtocol="TLS" />-->
   

  C.去掉注释,添keystoreFile="C:\Tomcat\GMAE3.0Tomcat\tomcat.keystore"
  keystorePass="tomcat"的属性
  改动完成后配置为:
  Java代码
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"   maxThreads="150" scheme="https" secure="true" clientAuth="false" keystoreFile="C:\Tomcat\GMAE3.0Tomcat\tomcat.keystore" keystorePass="tomcat" sslProtocol="TLS" /> 

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"   maxThreads="150" scheme="https" secure="true" clientAuth="false" keystoreFile="C:\Tomcat\GMAE3.0Tomcat\tomcat.keystore" keystorePass="tomcat" sslProtocol="TLS" />


  D.然后重启tomcat就能使用HTTPS访问

2.强制https访问

  在tomcat\conf\web.xml中的</welcome-file-list>后面加上这样一段:
Java代码
<login-config>  
    <!-- Authorization setting for SSL -->  
    <auth-method>CLIENT-CERT</auth-method>  
    <realm-name>Client Cert Users-only Area</realm-name>  
</login-config>  
<security-constraint>  
    <!-- Authorization setting for SSL -->  
    <web-resource-collection >  
        <web-resource-name >SSL</web-resource-name>  
        <url-pattern>/*</url-pattern>  
    </web-resource-collection>  
    <user-data-constraint>  
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
    </user-data-constraint>  
</security-constraint> 

  <login-config>
      <!-- Authorization setting for SSL -->
      <auth-method>CLIENT-CERT</auth-method>
      <realm-name>Client Cert Users-only Area</realm-name>
  </login-config>
  <security-constraint>
      <!-- Authorization setting for SSL -->
      <web-resource-collection >
          <web-resource-name >SSL</web-resource-name>
          <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
          <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
  </security-constraint>

 

完成以上步骤后,在浏览器中输入http的访问地址也会自动转换为https了

分享到:
评论

相关推荐

    详解NGINX访问https跳转到http的解决方法

    假设用户通过HTTPS(安全的HTTP)访问网站`https://www.jb51.net/aaa.html`,请求被NGINX服务器接收,然后转发到内部的HTTP服务,如Tomcat或PHP应用服务器。当内部服务进行重定向时,它可能返回一个HTTP的Location头...

    Java Web应用开发 06 课堂案例-安装与配置Tomcat.docx

    测试Tomcat是否安装成功的标准是能否正常访问其默认主页。在浏览器中输入http://127.0.0.1:8080或http://localhost:8080,如果显示Tomcat的默认主页,如图14所示,那么表明Tomcat已经正确安装并配置完毕。 总的来说...

    idea 访问html页面端口号显示的是63342而不是8080

    常见的端口号有 80(HTTP)、443(HTTPS)、8080(Tomcat)等。 知识点 2: IDEA 中的端口号显示 在 IDEA 中,访问 HTML 页面时,默认的端口号是 63342,而不是 8080。这是因为 IDEA 使用了自己的服务器来运行 HTML ...

    eipd:eipd,作为eip的原始代码存放位置,直接放到tomcat7 webapps下,和eip-skin目录放在同一层里。启动tomcat后,访问http

    根据提供的描述,访问EIP系统的方式是通过HTTP协议。通常,这将涉及到在浏览器中输入类似于"http://localhost:8080/eipd"的URL,其中"localhost"表示本地机器,"8080"是Tomcat的默认端口号,"eipd"是Web应用的上下文...

    spring boot实战之内嵌容器tomcat配置

    通过简单的配置或编码方式,我们可以轻松定制Tomcat容器的各种设置,包括端口、上下文路径、默认编码以及SSL加密等,以满足不同的开发和部署需求。随着Spring Boot的不断进化,对于内嵌容器的自定义和优化也越来越...

    Liferay管理员手册

    - **认证:轻量级访问协议**: LDAP认证配置。 - **单点登录**: SSO集成和设置。 - **中央验证服务(CAS)**: CAS认证配置。 - **身份验证:NTLM**: NTLM认证配置。 - **身份验证:OpenID**: OpenID认证配置。 -...

    webservice的Axis2入门教程java版

    - 默认情况下,Axis2支持热发布,即在不重启Tomcat的情况下添加或更新服务。若要禁用此功能,需修改`axis2.xml`配置文件的相关设置。 【总结】 通过这篇Java版的Axis2入门教程,我们了解到如何轻松地利用Axis2构建...

    利用压缩网页来提升网站浏览速度

    这项技术基于WEB服务器和浏览器间的协议,确保两者都支持压缩格式,如gzip和deflate。当浏览器发送请求时,它会在头部设置`accept-encoding`属性为gzip, deflate,表明其支持的压缩方式。服务器接收到请求后,检查...

    2021-2022计算机二级等级考试试题及答案No.10921.docx

    10. HTTP协议:URL中的`http`表示访问协议,它是超文本传输协议。 11. Switch语句:在给定的Java代码中,变量k的值会根据case语句执行的结果变为30 + 3 = 33,因为j - i 的结果为8,执行了case 8、case 9和case 10...

    2021-2022计算机二级等级考试试题及答案No.2544.docx

    3. **命令按钮显示图形文件**:在某些编程环境中(如VB或VBA),设置命令按钮的`Style`属性为0(或非0)可以使其变为图形按钮,并通过`Picture`属性设置显示的图像。 4. **网上搜索工具**:因特网上专门提供搜索的...

    2024-2025年Java大-中厂高频面试题

    - **按位取反(`~`)**: 对每个二进制位取反, 1变为0, 0变为1。 - **左移(`)**: 将操作数的二进制位向左移动指定的位数。 - **右移(`&gt;&gt;`)**: 将操作数的二进制位向右移动指定的位数, 符号位保持不变。 - **无符号右移...

    (2024)跳槽涨薪必备精选面试题.pdf

    // 在这中间可以添加N行代码,但必须保证s引用的指向不变,最终将输出变成abcd System.out.println(s); } ``` **答案解析:** 1. **s1 == s2** 为 `false`。 - 这里假设 `s1` 和 `s2` 分别代表 `"abc"` 和通过 `...

    java面试题(较全面)

    - **Application Server:** 提供运行时环境和支持服务,如Tomcat、WebLogic等。 - **MVC架构:** Model-View-Controller模式,分离数据、表示和控制逻辑。 - **XML处理:** 使用DOM、SAX等方式解析XML文档。 - **...

Global site tag (gtag.js) - Google Analytics