tomcat https如何配置

2021-07-27 14:52:46 字數 2264 閱讀 4796

http 標準埠是 80 ,而 https 的標準埠是 443;https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議;使用 https 連線時,伺服器要求有公鑰和簽名的證書。

ssl 證書是一種數字證書,實現資訊的加密傳輸。需要ssl證書的**型別包括銀行、購物類交易**。

如果某個**要求你填寫信用卡資訊,首先你要檢查該網頁是否使用 https 加密連線,如果沒有,那麼請不要輸入任何敏感資訊如信用卡號。

伺服器採用https必須從ca 申請乙個用於證明伺服器用途型別的證書,大多數ca都是收費的。verisign即是乙個著名的國外ca機構,工行、建行、招行、支付寶、財付通等**均使用verisign的證書,而網易郵箱等非金融**採用的是中國網際網路資訊中心 cnnic頒發的ssl證書。一般來說,乙個證書的**不菲,以verisign的證書為例,**在每年8000元人民幣左右。聽說startssl針對個人的基礎型證書是免費的。該證書只有用於對應的伺服器的時候,客戶端才信任此主機,客戶通過信任該證書,從而信任了該主機. 其實這樣做效率很低,但是銀行更側重安全。 所以目前所有的銀行系統**,關鍵部分應用都是https的。

為確保每個使用者都從https中受益,我們應該將所有傳入的http請求重定向至https。這意味著任何乙個訪問**的使用者都將自動切換到https,從那以後他們的資訊傳輸就安全了。驗證使用者名稱和密碼只是web上使用者身份驗證的一部分:像**一樣我們還需要記住某個已經驗證過的特定使用者,最常見的辦法是使用session cookies,這通常意味著瀏覽器sessionid儲存在乙個cookie中,伺服器端的資料庫知道這個sessionid對應某個特定的session,而那個session又對應著某個特定的已驗證使用者。如果有人用某種方式得到了使用者的sessionid,那麼在登陸之後,他就獲得了使用者所有的許可權,這和知道密碼沒什麼兩樣。

簡而言之:由於允許訪問使用者賬戶的session cookie,僅僅保障登陸頁面的安全是絕對不夠的,除非使用者已經連上了ssl,否則他們不應該傳輸任何機密資訊,比如session cookie。

一般https證書是免費的,但是免費的https證書會一直提示網路安全證書有問題,是不被瀏覽器等客戶端識別的,如果不想一直提示,需要得到相關機構認可,需要購買相關認證機構的證書,比如  【注意】:證書一般是需要指定ip和網域名稱的,如果要更改就得重新購買,所以在購買前,哪些產品需要用到此證書,一定考慮清楚相關ip和網域名稱

購買後的https證書會以乙個jks檔案給使用公司,比如:www.abcd.com.jks,埠為2443,外網埠12443,需要在server.xml裡配置https連線,

//開啟tomcat根目錄下的/conf/server.xml,找到connector port="8443"配置段,修改為如下:


(tomcat要與生成的服務端證書名一致)


屬性說明:


clientauth:設定是否雙向驗證,預設為false,設定為true代表雙向驗證


keystorefile:伺服器證書檔案路徑


keystorepass:伺服器證書密碼


truststorefile:用來驗證客戶端證書的根證書,此例中就是伺服器證書


truststorepass:根證書密碼
以上配置好後,訪問即可。

client-cert


client cert users-only area


ssl /*


confidential
1、在理解的時候可以認為兩者都是一致的,tls協議是ssl協議的公升級版。

協議是解決方案、標準,能夠解決很多普適性的問題,在網際網路開發中,tls/ssl協議是最常見的安全解決方案,為什麼呢?任何基於tcp/ip 的網路應用都會遇到安全問題,比如中間人攻擊、無法對對端進行身份驗證,傳輸的資料不具備機密性,這些問題都可以使用tls/ssl協議解決。

對於應用層協議而言,它無需過多改變,引入tls/ssl協議即可保證資料機密性和完整性。

2、中間人攻擊概念

伺服器傳遞給客戶端的公鑰可能被攻擊者替換,這樣安全性就蕩然無存了。中間人攻擊過程:

3、tls/ssl協議中,客戶端無法確認伺服器端的真實身份,客戶端訪問某網域名稱,接收到乙個伺服器公鑰,但無法確定公鑰是不是真正屬於該網域名稱,解決方案是引入證書

參考:https 部署簡要指南

ipsec,ssl vpn以及openvpn引發些許感慨

https和http的區別

https原理及tomcat配置https方法

通向架構師的道路(第二天)之apache tomcat https應用

一分鐘開啟Tomcat https支援

開啟tomcat conf server.xml配置檔案,把下面這段配置注釋取消掉,keystorepass為證書金鑰需要手動新增,建立證書時指定的。使用jdk工具類裡面的keytool命令來生成證書,按照提示輸入相應的資訊。輸入金鑰庫口令 您的名字與姓氏是什麼?unknown test 您的組織單...

如何配置 Git

一 配置檔案的儲存位置 配置檔案.gitconfig可以被儲存在三個不同的位置 etc gitconfig 檔案 包含了適用於系統所有使用者和所有庫的值。如果你傳遞引數選項 system 給 git config,它將明確的讀和寫這個檔案。gitconfig 檔案 具體到你的使用者。你可以通過傳遞 ...

如何配置EclipseIDE Tomcat配置

現在在看struts方面的知識 然後發現網上的資源都特別老 都是13年 14年的 tomcat 版本都是6.0 7.0 事實上現在tomcat版本都更新到9.0了。下面介紹如何搭建 需要1.裝有jdk 並且知道jdk存放位置 並且配置了環境變數的電腦 binary distributions 二進位...