SSL构建单双向https认证！https部署及注意事项！

1.  SSL基本介绍

咱们经常在使用网上银行时看到的链接都是以“https”开始的，那么这个https是什么呢？这实际上是表

示目前链接使用了SSL进加密，能保证客户端到服务器端的通讯都在被保护起来，那么浏览器是若是实现的呢？下面让咱们来介绍一下SSL基本的实现方法。

首先咱们有两种基本的加解密算法类型：对称加密，非对称加密（公私钥加密），如今介绍一下这两种加密算法的特色：

对称加密：密钥只有一个，加密解密为同一个密码，且加解密速度快，典型的对称加密算法有DES、AES等，示意图以下：

图1 对称加密

非对称加密：密钥成对出现（且根据公钥没法推知私钥，根据私钥也没法推知公钥），加密解密使用不一样密钥（公钥加密须要私钥解密，私钥加密须要公钥解密），相对对称加密速度较慢，典型的非对称加密算法有RSA、DSA等，示意图以下：

                   图2 非对称加密

2．https加密传输介绍

根据上面的两种加密方法，如今咱们就能够设计一种没法让他人在互联网上知道你的通信信息的加密方法：

1.    在服务器端存在一个公钥及私钥

2.    客户端从服务器取得这个公钥

3.    客户端产生一个随机的密钥

4.    客户端经过公钥对密钥加密（非对称加密）

5.    客户端发送到服务器端

6.    服务器端接受这个密钥而且之后的服务器端和客户端的数据所有经过这个密钥加密（对称加密）

HTTPS通讯过程的时序图以下：

              图3 HTTPS通讯时序图

正如上图所示，咱们能保证下面几点：

1.    客户端产生的密钥只有客户端和服务器端能获得

2.    加密的数据只有客户端和服务器端才能获得明文

3.    客户端到服务端的通讯是安全的 

3.  https的双向认证/单向认证

tomcat 配置https (双向认证)

 一、生成服务器端证书

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

二、生成客户端证书

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650

客户端的CN能够是任意值。 

三、因为是双向SSL认证，服务器必需要信任客户端证书，所以，必须把客户端证书添加为服务器的信任认证。因为不能直接将PKCS12格式的证书库导入，咱们必须先把客户端证书导出为一个单独的CER文件，使用以下命令，先把客户端证书导出为一个单独的cer文件：

keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc

而后，添加客户端证书到服务器中（将已签名数字证书导入密钥库）

keytool -import -v -alias custom -file custom.cer -keystore server.jks -storepass password

四、查看证书内容

keytool -list -v -keystore server.jks -storepass password

五、配置tomcat service.xml文件

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

    maxThreads="150" scheme="https" secure="true"

    clientAuth="true" sslProtocol="TLS"

    keystoreFile="D:/server.jks" keystorePass="password"

    truststoreFile="D:/server.jks" truststorePass="password"

/>

clientAuth="true"表示双向认证 

六、导入客户端证书到浏览器 双向认证须要强制验证客户端证书。双击“custom.p12”便可将证书导入至IE。

tomcat 配置https (单向认证)

一、生成服务器端证书

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

二、因为是单向认证，没有必要生成客户端的证书，直接进入配置tomcat service.xml文件

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

    maxThreads="150" scheme="https" secure="true"

    clientAuth="false" sslProtocol="TLS"

    keystoreFile="D:/server.jks" keystorePass="password"   

/>

clientAuth="false"表示单向认证，同时去掉truststoreFile="D:/server.jks" truststorePass="password"这2

4.  证书的购买

你们能够到北京数字认证中心等CA厂商去采购，下面是深圳市沃通的证书相关状况：

SSL证书续费价格：

3 年： 3134 元，平均下来1年仅1045元，4张共12536元
5 年： 5150 元，平均下来1年仅1030元，4张共20600元

如今1年1688元，续费价格为1350元。续多年的很是划算哦:)

并且不用每一年都续费从新安装证书。只要是长期运营的网站，

能够放心使用多年期证书。

这是证书请求文件csr生成指南：https://www.wosign.com/support/csr_generation.htm

证书安装指南：https://www.wosign.com/support/ssl_installation.htm

  

5.  部署注意事项：

一、确保server.key 、server.crt、ca.crt等文件为root可读权限，增强安全性。操做以下：

chmod 400 文件名

二、执行apachectl startssl命令时，让apache自动输入"pass phrase"运行,操做以下:

编辑文件

(1) vi /*/*/apache/conf/extra/httpd-ssl.conf

注释掉SSLPassPhraseDialog builtin

在下一行添加SSLPassPhraseDialog exec:/*/*/apache/conf/apache_pass.sh

(2) vi /*/*/apache/conf/apache_pass.sh

#!/bin/sh

echo "pass phrase" # "pass phrase" 即为执行apachectl startssl时须要输入的通行短语"

chmod 700 /*/*/apache/conf/apache_pass.sh

（3）而后启动apache

[root@zte jishubu]#/*/*/apache/bin/apachectl startssl 或者是 /*/*/apache/bin/httpd -k start -DSSL

三、一旦开启了https服务，则防火墙必定要把443端口对外开放。

原文出处：http://www.it165.net/os/html/201405/8183.html