曾经看过一个视频 ,这是关于网络安全的测试。A老外共享了wifi,并且不用输密码就可以连接上的wifi。由于此wifi无须密码验证,B老外便很快连接上了此wifi,接着登录某个网站,很快地,A老外便知道了B老外的网站账号和密码。A老外展示了他捕捉到的一连串请求信息,其中就有账号和密码。
很明显这个网站是采取http超文本协议在网络上传送数据的,这样用户的信息是非常不安全的,只要可以拦截到传送包,用户的信息就全部暴露无疑。而https是在http上加入ssl协议,ssl协议对数据进行加密。所以https是具有安全性的ssl加密传输协议。
tomcat是提供https传输协议的,在tomcat配置ssl步骤:
1、创建keystore文件
2、配置tomcat使用keystore文件
3、配置应用使用https协议访问
1、创建keystore文件
其实keystore文件就是密钥仓库,密钥仓库储存了密钥和证书。如果要修改密钥仓库,需要提供口令,这样就可以保护到密钥仓库和证书。当然每个密钥仓库都有一个别名唯一识别它,通过别名可以指向密钥仓库,例如在修改密钥仓库的信息时。
当然,该步的前提是你已经安装了jdk(本人使用了jdk6),执行命令:
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\apache-tomcat-7.0.59\conf\.keystore
输入keystore密码:111111
再次输入新密码:111111
你的姓氏与名称是什么?
[Unkown]:
您的组织单位名称是什么?
[Unkown]:
您所在的城市或区域名称是什么?
[Unkown]:
您所在的州或省份名称是什么?
[Unkown]:
该单位的两字母国家代码是什么?
[Unkown]:
CN=XX, OU=XX, O=XX, L=XX, ST=XX, C=XX 正确吗?
[否]:y
输入<tomcat>的主密码
(如果和 keystore 密码相同,按回车):
其中
-alias 参数用来设置keystore文件的别名
-keystore 参数用来设置keystore文件的文件名的。
执行完以为命令,在tomcat的conf目录下就生成了keystore文件了,
2、配置tomcat使用keystore文件
本人的tomcat是7.0.59。
进入tomcat的conf/server.xml文件,默认情况下SSL是被注释掉的,
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the BIO implementation that requires the JSSE
style configuration. When using the APR/native implementation, the
OpenSSL style configuration is required as described in the APR/native
documentation -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
修改为:
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
disableUploadTimeout="true" enableLookups="false" maxThreads="25"
port="8443" keystoreFile="${catalina.home}/conf/.keystore" keystorePass="111111"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
secure="true" sslProtocol="TLS" />
其中
keystoreFile参数指向keystore文件的路径;
keystorePass参数设置密码(生成keystore文件时设置的密码)。
3、配置应用使用https协议访问
在应用的web.xml文件里添加以下内容:
<security-constraint>
<web-resource-collection>
<web-resource-name>securedapp</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
其中
transport-guarantee 标签设置为 CONFIDENTIAL ,这样应用的所有请求都支持 SSL方式访问;
transport-guarantee 标签设置为 NONE,则不支持SSL。
访问应用,输入URL:https://ip:8443/app。