关于HTTPS的一点点了解

最新推荐文章于 2024-10-11 16:39:51 发布
最新推荐文章于 2024-10-11 16:39:51 发布
阅读量432 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: HTTPS 文章标签: HTTPS SSL tomcat部署https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/devenzeng/article/details/83308415
本文详细介绍了SSL证书的生成、转换及在Tomcat上的部署流程,包括私钥生成、CSR文件创建、证书文件转换为JKS格式,以及单向和双向SSL的配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近需要对SSL证书这块进行部署和各类型证书转换,记录一些中间使用到的命令。

先说下怎么获取证书。
首先是生成私钥:

openssl genrsa -out private.key 2048
openssl genrsa -aes256 -passout pass:123456 -out private.key 2048


上面是生成2048bit不带密码的私钥和带密码的私钥
然后是生成证书请求文件(CSR):

openssl req -new  -key private.key -out example.csr


会提示你输入国家、省份、城市等信息
输入完成会得到一个csr文件。
我们拿这个csr就可以直接去CA机构申请证书。
CA机构给我们的一般都是PEM格式的证书
大概的文件会有:网站的SSL证书文件、如果是双向验证的话可能会提供客户端Email证书文件(拿来访问网站使用)、证书链文件。
这时候我们会有:私钥文件、csr文件、SSL证书文件、证书链文件、Email证书文件(可能存在)。

Tomcat使用https需要用到keystore文件,在tomcat官网文档其实都有说明的。
http://tomcat.apache.org/tomcat-8.0-doc/ssl-howto.html
先生成一个jks(java key store)

openssl pkcs12 -export -in  certificate.crt -inkey private.key -nodes -password pass:123456 -out example.p12
keytool -v -importkeystore -srckeystore example.p12 -srcstoretype PKCS12 -destkeystore example.jks -deststoretype JKS

上面的命令意思是:先把证书certificate.crt和私钥private.key转成一个带密码的p12文件(有些也叫pfx)。密码是123456。使用keytool工具将pkcs12格式的文件转成jks里面包含了证书和密钥对。

在这个过程当中p12文件的密码最好和jks的密码保持一致,在这里踩过一次坑。
如果不一致,部署tomcat的时候会导致:

Caused by: java.security.UnrecoverableKeyException: Cannot recover key


我们可以修改里面密钥对的密码,修改和jks的密码一致:

keytool -keypasswd -keystore example.jks -alias 1


-alias后面跟着的“1”是别名,不指定的情况下一般默认都是1。
在部署双向SSL的时候需要一个信任列表,就是说那些ca签发的客户端证书可以访问到我们的网站。
使用keytool命令导入签发客户端证书的ca证书:

keytool -import -file trustca.cer -keystore trustca.jks


如果没有jks会自动创建的,tomcat需要的两个jks已经有了example.jks、trustca.jks。

Tomcat8.5以下和8.5以上的部署方式不太一样的,但使用的文件都是一样的,部署以TOMCAT8.0.53为例,来看看server.xml里面的配置:
把下面这个配置放开并且配置SSL证书(这个是单向的SSL,不需要客户端选择证书的)

 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/home/testservice/key/example/example.jks" keystorePass="123456" />


双向的只要添加两个参数就行,把clientAuth改为true(clientAuth有几个值,看自己的需要选择):               
 

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS" keystoreFile="/home/testservice/key/example/example1.jks" keystorePass="123456"
                 truststoreFile="/home/testservice/key/example/trustca.jks" truststorePasss="123456" />  

     

以上是生成到部署的全部过程。                 
Tomcat8.5的双向SSL配置如下(单向的把SSLHostConfig其他参数去掉就行):
 

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig certificateVerification="require" truststoreFile="/home/testservice/key/example/trustca.jks" truststorePassword="123456">
            <Certificate certificateKeystoreFile="/home/testservice/key/example/example.jks" type="RSA" certificateKeystorePassword="123456"/>
        </SSLHostConfig>
    </Connector>


具体配置参数在这里有:
http://tomcat.apache.org/tomcat-8.5-doc/config/http.html    

最后来个图吧:

以下是在解惑的过程中在网上找到的有关命令:

    提取密钥对:
    openssl pkcs12 -in example.pfx -nocerts -nodes -out keypair.key
    密钥对提取私钥:
    openssl rsa -in keypair.key -out example_private.key
    密钥对提取公钥:
    openssl rsa -in keypair.key -pubout -out example_pub.key
    pfx提取证书
    openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
    
    查看jks    
    keytool -list -v -keystore example.jks    
    创建JKS
    keytool -genkey -alias eyestrip -keystore example.jks

Tomcat配置SSL证书
个人学习笔记库,一篇一篇记录成长的足迹
07-30 1万+
本地即服务器以tomcat作为服务器的ssl证书配置,开放https安全访问。
HTTP和HTTPS(二)
weixin_65846395的博客
10-18 2176
以后我们参加工作后, 经常会涉及到 “报销” 的场景。你拿着发票想报销, 需要领导批准。但是领导又不能和你一起去找财务。那咋办?很简单, 领导给你签个字就行了。财务见到领导的签字, “见字如见人”。因为不同的人, “签名” 的差别会很大。使用签名就可以一定程度的区分某个特定的人。类似的, 针对一段数据(比如一个字符串), 也可以通过一些特定的算法, 对这个字符串生成一个 “签名”。并保证不同的数据, 生成的 “签名” 差别很大。这样使用这样的签名就可以一定程度的区分不同的数据。
HTTPS要点总结
老痒的农舍
03-23 647
HTTPS要点总结 1.HTTPS的特点 HTTPS的本质还是HTTP 在TCP层加上了SSL或TLS 端口: HTTP:80 HTTPS:443 2.HTTPS安全性 1)提供验证服务,验证本次会话身份的合法性 2)提供加密服务,强加密机制能保证通信中的消息不被破译 3)提供防篡改服务,利用Hash算法对消息进行签名,通过验证签名保证通信内容不被篡改 3.图解 |----------------------------------------| |
关于实际使用https需要注意的一个小点
热门推荐
zhangpan_soft的博客
04-25 1万+
最近项目为了跟随互联网脚步,也采用了https协议,然而,在使用https协议的时候控制台一直报 说的是你这个页面是基于https协议的,不能有不安全协议,http协议,你的所有的请求都必须是https协议,,贴出来是为了说,碰到这个错误不用害怕,检查一下是不是你的所有资源都是https协议就ok了,如果不是,改为https协议就好了. 而我呢用的是七牛图片存储,貌似七牛是不支持htt
关于HTTPS的那点事
Swy_ww
06-11 882
从http看https的诞生缘由 本文重点不在于http,所有对http的原理和过程不做过多仔细的说明。我们熟悉的http的大致请求过程如下: - 客户端连接到Web服务器 - 发送HTTP请求 - 服务器接受请求并返回HTTP响应 由于HTTP协议采用明文传输,通过抓包很轻松的获取到HTTP所传输的数据。因此,采用HTTP协议是不安全的。这才催生了HTTPS的诞生。HTTPS相对HTT...
Tomcat8.5 / 9 安装ssl证书
zsg88的专栏
02-05 9247
Tomcat 8.5 以上版本支持 SNI ( 同IP可以安装多个证书 ), 至少 jre 7 以上版本 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" defaultSSLHostConfigName="tomca
使用httpclient方式和RestTemplate方式调用http及https接口
03-25
首先,让我们了解HTTP和HTTPS的基本概念。HTTP(超文本传输协议)是用于在Web上传输数据的应用层协议,而HTTPS(安全套接层超文本传输协议)是HTTP的安全版本,它通过SSL/TLS加密来保护数据传输的安全性。 1. ...
【Linux】HTTPS协议
malloc不出对象的博客
07-21 688
本篇文章讲解了Https的加密过程以及原理。
HTTPS 协议原理
gtyyky的博客
03-21 1642
• 数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash函数)对信息进行运算,生成⼀串固定长度的数字摘要。数字指纹并不是⼀种加密机制,但可以用来判断数据有没有被窜改。• 摘要常见算法:有MD5、SHA1、SHA256、SHA512等,算法把无限的映射成有限,因此可能会有碰撞(两个不同的信息,算出的摘要相同,但是概率非常低)• 摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比。
【超详细】HTTPS协议
奇点的博客
10-11 1248
HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层. HTTP协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况
ssl证书 嵌入式设备,嵌入式Tomcat-更新/删除证书而无需重新启动
weixin_32549267的博客
01-30 389
I am using embedded Tomcat and using SSLHostConfig to add SNI certificates when I create the connector. It works wonderfully.I am also able to add certificates without restarting Tomcat using somethin...
linux系统SSL证书部署https单/多站点
wwwwestcn的博客
05-19 3749
ssl_certificate 证书文件路径/_www.domain.com.crt;SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt # 对应wdcp中apache的bundle文件。ssl_certificate_key 证书文件路径/_www.domain.com.key;将www.domain.com.jks文件存放到conf目录下,然后配置同目录下的server.xml文件, 新增如下内容。
HTTP协议与HTTPS协议区别及SSL配置方式
willem的博客
07-20 1025
简介 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信
No SSLHostConfig element was found with the hostName [_default_] to match the defaultSSLHostConfigNa
2019想做自己的游戏的人加群95303036
04-24 408
【代码】No SSLHostConfig element was found with the hostName [_default_] to match the defaultSSLHostConfigNa。
超级详细的SSL安装教程,不看后悔系列!
梦安的博客
03-03 1万+
最近开发了一款微信小程序,用的是Java后台。事先没研究过小程序的我做好直接发布了,成功之后傻眼了。出现了错误,我立刻在本地找错误,结果本地测试正常,本地代理服务器完全没有问题,访问到了服务器后台。 微信小程序无法访问服务器后台标题 经过查询,发现了问题所在,在腾讯开发的微信小程序中,小程序只可以跟指定的域名与进行网络通信。包括普通 HTTPS 请求、上传文件、下载文件和 WebSocket...
SpringBoot项目 配置ssl证书,实现https协议
jinchunzhao的博客
06-21 7950
一、阿里云购买cas证书、配置证书、下载证书 2.下载证书 3.证书 二、项目打包方式一: jar包 1.下载的证书放在项目根目录下 2.application.properties配置文件中的配置 3.证书放在项目部署的服务器同级目录中 4.启动项目 nohup java -jar dwSmartBuffet-0.0.1-SNAPSHOT.jar &gt...
在CentOS系统下的Tomcat8.5或9安装SSL证书
耕耘
12-01 517
在CentOS系统下的Tomcat8.5或9安装SSL证书
tomcat配置单个、多个SSL证书(linux环境)
hippo95的博客
08-27 2465
Tips:证书文件可以放到任意目录下,只要保证在server.xml里配置的路径准确即可。保存修改,重启tomcat,修改生效。证书安装完成后,可以通过访问证书绑定域名的方式验证证书是否安装成功。证书安装完成后,可以通过访问证书绑定域名的方式验证证书是否安装成功。在Tomcat安装目录下,创建cert目录,将解压的证书和密码文件拷贝到cert目录下。在Tomcat安装目录下,创建cert目录,将解压的证书和密码文件拷贝到cert目录下。下载证书文件到本地,应该包括一个pfx证书文件、一个密码文件。...
Tomcat SSL配置 Connector attribute SSLCertificateFile must be defined when using SSL with APR解决
燃烧JAVA
06-04 2051
Tomcat 6版本配置SSL过程有两步: 1、用JDK自带的keytool.exe来生成私有密钥和自签发的证书,如下: keytool -genkey -keyalg RSA -alias tomcat 按提示输入相关内容后,这条命令将在默认密钥库文件里新增一个别名为tomcat的私有密钥项及其自签发的证书。默认密钥库文件为: %USERPROFILE%\.keyst
更详细一点点接线流程
最新发布
03-28
嗯,用户之前已经问过关于西门子PLC1214控制24V直流电机,使用L298N驱动器和外接5V电源的接线问题,现在他们想要更详细的接线流程。首先,我需要回顾之前的回答,确保这次补充的内容不重复但更详细。用户可能是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值