HTTPS原理
- 用戶端向伺服器發送請求
- 伺服器向用戶端發送自己的證書
- 用戶端驗證證書的有效性(是否是可信用機構CA頒發的證書,如果不是則提出警告)并對比裡面資訊是否正确,不通過則立刻斷開連接配接
- 向伺服器端發送自己的證書及支援的加密算法清單
- 伺服器端驗證客戶證書的有效性,并選擇加密程度最高的加密算法,用客戶的公鑰加密後發給用戶端
- 用戶端用自己的私鑰解密得到要使用的加密算法,然後随機産生主密碼key在用伺服器端的公鑰對其加密并發送
- 伺服器用自己的私鑰解密擷取主密碼
- 以後發送的資訊都通過對稱加密進行加密通信
Https有單向和雙向驗證,它們的差別
單向認證隻要求站點部署了ssl證書就行,任何使用者都可以去通路(IP被限制除外等),隻是服務端提供了身份認證。而雙向認證則是需要是服務端需要用戶端提供身份認證,隻能是服務端允許的客戶能去通路,安全性相對于要高一些
雙向認證SSL 協定的具體通訊過程,這種情況要求伺服器和用戶端雙方都有證書。 單向認證SSL 協定不需要用戶端擁有CA憑證,以及在協商對稱密碼方案,對稱通話密鑰時,伺服器發送給用戶端的是沒有加過密的(這并不影響SSL過程的安全性)密碼方案。這樣,雙方具體的通訊内容,就是加密過的資料。如果有第三方攻擊,獲得的隻是加密的資料,第三方要獲得有用的資訊,就需要對加密的資料進行解密,這時候的安全就依賴于密碼方案的安全。而幸運的是,目前所用的密碼方案,隻要通訊密鑰長度足夠的長,就足夠的安全。這也是我們強調要求使用128位加密通訊的原因。
一般Web應用都是采用單向認證的,原因很簡單,使用者數目廣泛,且無需做在通訊層做使用者身份驗證,一般都在應用邏輯層來保證使用者的合法登入。但如果是企業應用對接,情況就不一樣,可能會要求對用戶端(相對而言)做身份驗證。這時就需要做雙向認證。
Tomcat配置單向Https
1.使用jdk中的keytool工具産生證書庫檔案,并複制到tomcat的conf目錄下
2.修改tomcat的server.xml檔案(keystoreFile可以通過相對路徑指定)
<Connector
port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100" scheme="https"
secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/tomcat.keystore"
keystorePass="123456" />
3.配置需要強制使用https協定的url
<!-- 強制SSL配置,即普通的請求也會重定向為SSL請求 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/service/*</url-pattern><!-- 全站使用SSL <url-pattern>/*</url-pattern>-->
</web-resource-collection>
<user-data-constraint>
<description>SSL required</description>
<!-- CONFIDENTIAL: 要保證伺服器和用戶端之間傳輸的資料不能夠被修改,且不能被第三方檢視到 -->
<!-- INTEGRAL: 要保證伺服器和client之間傳輸的資料不能夠被修改 -->
<!-- NONE: 訓示容器必須能夠在任一的連接配接上提供資料。(即用HTTP或HTTPS,由用戶端來決定)-->
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
![圖解公鑰與私鑰,加密解密、簽名驗簽流程,什麼是 CA 證書[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)