HTTP协议转换成HTTPS协议.doc

.HTTP协议转换成HTTPS协议考虑到数据的安全敏感性采用https是超文本传输协议 (HTTP)加SSL/TLS（数据链接层加密技术）的组合，用以鉴定网络服务器身份并且提供用户与服务器加密通讯。本文以jboss-4.2.3.GA版本为例讲解配置https方法。（tomcat在后面）一、 为服务器生成证书keystore密钥文件1 以下是我在cmd中的操作：%JAVA_HOME%binkeytool -genkey -alias server -keyalg RSA -keystore f:server.keystore -validity 3650或有相应提示输入提示信息在F盘生成了一个server.keystore密钥文件。-alias server key的别名。具体参数见本文档附录最后。二、 将生成好的server.keystore放入你的jboss安装目录生成完后server.keystore放入D: jboss-4.2.3.GAserverdefaultconf中。三、 修改server.xml文件1. 修改D:jboss-4.2.3.GAserverdefaultdeployjboss-web.deployer 目录下的server.xml文件。2. 找到Connector port=8443 address=$jboss.bind.address 配置节点去掉注释加入代码片段：keystoreFile=$jboss.server.home.dir/conf/server.keystore keystorePass=123456 clientAuth=false sslProtocol=TLS也可不去掉注释增加如下代码：keystoreFile：server.keystore 在jboss中的位置，在第二步中放的位置keystorePass：在cmd命令中输入的key密码 一定要一直sslProtocol=TLS： 加密方式可以参考官网/jbossweb/3.0.x/ssl-howto.html 四、 修改项目中web.xml配置文件 增加如下配置。HtmlAdaptorAn example security config that only allows users with therole JBossAdmin to access the HTML JMX console web application*.do!- GET POST -!- JBossAdmin -Protection should be CONFIDENTIALCONFIDENTIAL*.do过滤地址可以配置多个选项/表示全部可以用指定jsp html等CONFIDENTIAL其中transport-guarantee的可选参数类型有三个：NONE: 对所使用的通信协议不加限制；CONFIDENTIAL：使用加密的通信协议；INTEGRAL： 数据必须以一种防止截取它的人阅读它的方式传送。五、 测试。访问https:/localhost:8443/jmx-console/index.jsp，可以了。同时http:/localhost:8080/jmx-console/index.jsp也可以访问本项目地址：:8080/buyerindex.do 会强制转向的:8443/buyerindex.do注意 是在cmd生成key文件时输入的出现警告点击继续出现红叉不信任警告可以查看证书信息，里面都是cmd时生成的信息六、 安装导入证书如上图点击“常规选项卡”点击安装证书点击是。重新打开浏览器此时的地址栏警告已经没有了注意地址栏是cmd输入的“名字姓氏（名词可能不一样）”如果不匹配 或出现警告“地址不符”到处为止jboss https加密协议完成，注意这种用是单向认证七、 tomcat配置https协议生成keystore文件与jboss 相同。文件存放位置：tomcat安装的根目录 如：D:apache-tomcat-6.0.37修改conf下的service.xml文件方法与jboss修改文件相同如： 注意红色部分tomcat6 是这样配置的 protocol=org.apache.coyote.http11.Http11NioProtocol其他tomcat版本protocol=HTTP/1.1修改项目web.xml 文件同jboss相同。完毕 测试方法类同。八、JDK中keytool常用命令。-genkey 在用户主目录中创建一个默认文件.keystore,还会产生一个mykey的别名，mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录，如：对于window xp系统，会生成在系统的C:/Documents and Settings/UserName/文件名为“.keystore”)-alias 产生别名-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)-keyalg 指定密钥的算法 (如 RSA DSA（如果不指定默认采用DSA）)-validity 指定创建的证书有效期多少天-keysize 指定密钥长度-storepass 指定密钥库的密码(获取keystore信息所需的密码)-keypass 指定别名条目的密码(私钥的密码)-dname 指定证书拥有者信息 例如： CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码-list 显示密钥库中的证书信息keytool-list -v -keystore 指定keystore -storepass 密码-v 显示密钥库中的证书详细信息-export 将别名指定的证书导出到文件keytool-export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码-file 参数指定导出到文件的文件名-delete 删除密钥库中某条目keytool-delete -alias 指定需删除的别 -keystore 指定keystore -storepass 密码-printcert 查看导出的证书信息keytool-printcert -file yushan.crt-keypasswd 修改密钥库中指定条目口令keytool-keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage-storepasswd 修改keystore口令keytool-storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)-import 将已签名数字证书导入密钥库keytool-import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书下面是各选项的缺省值。-aliasmykey-keyalgDSA-keysize1024-validity90-keystore用户宿主目录中名为.keystore的文件-file读时为标准输入，写时为标准输出1、keystore的生成：分阶段生成：keytool-genkey-alias yushan(别名) -keypass yushan(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度) -validity 365(有效期，天单位) -keystoree:/yushan.keystore(指定生成证书的位置和证书名称) -storepass 123456(获取keystore信息的密码)；回车输入相关信息即可；一次性生成：keytool-genkey -alias yushan -keypass yushan -keyalg RSA -keysize 1024 -validity 365 -keystore e:/yushan.keystore -storepass 1