最近工作中使用到了一些加密的算法，如：

• 對稱加密的DES、3DES、RC4、AES
• 非對稱加密算法：RSA，DSA、DSS
• HASH算法：MD5，SHA1，SHA256

上篇中，我也給出了其中一些算法的java實現。工作中也使用了其中的DES、RSA、MD5進行網絡傳輸數據的加密。但是這也引發了一個問題：每次請求都要對參數進行加密，造成了代碼的冗余，也影響了請求的效率！在上篇評論中，也有簡友提問，問什么不使用https請求，因為https需要第三方的ssl證書啊，這是要收費的！不過既然提出了問題，那么我們就看看如何在tomcat上搭建https服務吧！

簡單介紹一下https協議

• 什么是HTTPS
  　　在說HTTPS之前先說說什么是HTTP，HTTP就是我們平時瀏覽網頁時候使用的一種協議。HTTP協議傳輸的數據都是未加密的，也就是明文的，因此使用HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸，于是網景公司設計了SSL（Secure Sockets Layer）協議用于對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定義在RFC 6101中，之后IETF對SSL 3.0進行了升級，于是出現了TLS（Transport Layer Security） 1.0，定義在RFC 2246。實際上我們現在的HTTPS都是用的TLS協議，但是由于SSL出現的時間比較早，并且依舊被現在瀏覽器所支持，因此SSL依然是HTTPS的代名詞，但無論是TLS還是SSL都是上個世紀的事情，SSL最后一個版本是3.0，今后TLS將會繼承SSL優良血統繼續為我們進行加密服務。目前TLS的版本是1.2，定義在RFC 5246中，暫時還沒有被廣泛的使用。
• SSL協議的握手協議
  SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和服務器之間完成相互之間的身份認證，其主要過程如下：　　
  ① 客戶端的瀏覽器向服務器傳送客戶端 SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。　　
  ② 服務器向客戶端傳送 SSL 協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。　
  ③ 客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發行服務器證書的 CA 是否可靠，發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過， 通訊將斷開；如果合法性驗證通過，將繼續進行第四步。　　
  ④ 用戶端隨機產生一個用于后面通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。 　　
  ⑤ 如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然后對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。 　　
  ⑥ 如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的 CA 是否可靠，發行 CA 的公鑰能否正確解開客戶證書的發行 CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密 碼”，然后執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。　　
  ⑦ 服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于 SSL 協議的安全數據通訊的加解密通訊。同時在 SSL 通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。 　　
  ⑧ 客戶端向服務器端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。　　
  ⑨ 服務器向客戶端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。　　
  ⑩ SSL 的握手部分結束，SSL 安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。
• 雙向認證 SSL 協議的具體過程　　
  ① 瀏覽器發送一個連接請求給安全服務器。 　　
  ② 服務器將自己的證書，以及同證書相關的信息發送給客戶瀏覽器。 　　③ 客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的 CA 中心所簽發的。如果是，就繼續執行協議；如果不是，客戶瀏覽器就給客戶一個警告消息：警告客戶這個證書不是可以信賴的，詢問客戶是否需要繼續。　　
  ④ 接著客戶瀏覽器比較證書里的消息，例如域名和公鑰，與服務器剛剛發送的相關消息是否一致，如果是一致的，客戶瀏覽器認可這個服務器的合法身份。 　　
  ⑤ 服務器要求客戶發送客戶自己的證書。收到后，服務器驗證客戶的證書，如果沒有通過驗證，拒絕連接；如果通過驗證，服務器獲得用戶的公鑰。 　　
  ⑥ 客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案。　　
  ⑦ 服務器從客戶發送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公鑰加過密后通知瀏覽器。 　　
  ⑧ 瀏覽器針對這個密碼方案，選擇一個通話密鑰，接著用服務器的公鑰加過密后發送給服務器。　　
  ⑨ 服務器接收到瀏覽器送過來的消息，用自己的私鑰解密，獲得通話密鑰。 　　
  ⑩ 服務器、瀏覽器接下來的通訊都是用對稱密碼方案，對稱密鑰是加過密的。 　　
  上面所述的是雙向認證 SSL 協議的具體通訊過程，這種情況要求服務器和用戶雙方都有證書。單向認證 SSL 協議不需要客戶擁有 CA 證書，具體的過程相對于上面的步驟，只需將服務器端驗證客戶證書的過程去掉，以及在協商對稱密碼方案，對稱通話密鑰時，服務器發送給客戶的是沒有加過密的 （這并不影響 SSL 過程的安全性）密碼方案。 這樣，雙方具體的通訊內容，就是加過密的數據，如果有第三方攻擊，獲得的只是加密的數據，第三方要獲得有用的信息，就需要對加密的數據進行解密，這時候的 安全就依賴于密碼方案的安全。而幸運的是，目前所用的密碼方案，只要通訊密鑰長度足夠的長，就足夠的安全。這也是我們強調要求使用 128 位加密通訊的原因。

在tomcat上搭建https服務

我們使jdk自帶的證書生成工具keytool生成證書（如果以后真正在產品環境中使用肯定要去證書提供商去購買），步驟如下：

• 為服務端生成證書
  運行控制臺，輸入命令：
  <pre>#keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500</pre>
  其中“D:\home\tomcat.keystore”含義是將證書文件的保存路徑，證書文件名稱是tomcat.keystore ；“-validity 36500”含義是證書有效期，36500表示100年，默認值是90天 “tomcat”為自定義證書名稱。

  
  
  生成服務端證書
  
  

  生成證書的額過程中需要幾次輸入:

• 輸入keystore密碼：此處需要輸入大于6個字符的字符串。
• “您的名字與姓氏是什么？”這是必填項，并且必須是TOMCAT部署主機的域名,我輸入的是water.min.com，其實這個域名是不存在的，但是我為了演示所以虛擬了這個域名，技巧在于修改
  <code>C:\Windows\System32\drivers\etc\hosts</code>
  添加內容如下：
  <code>127.0.0.1 water.min.com</code>
  這樣在訪問water.min.com的時候其實是訪問的127.0.0.1也就是本機。
• 你的組織單位名稱是什么？”、“您的組織名稱是什么？”、“您所在城市或區域名稱是什么？”、“您所在的州或者省份名稱是什么？”、“該單位的兩字母國家代碼是什么？”可以按照需要填寫也可以不填寫直接回車，在系統詢問“正確嗎？”時，對照輸入信息，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的信息。
• 輸入<tomcat>的主密碼，這項較為重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也可以，完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件。

• 為客戶端生成證書
  使用命令：
  <pre>keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12</pre>
  其中mykey為證書的名稱，D:\home\mykey.p12為證書存放的位置。

  
  
  為客戶端生成證書
  
  

  其中：對應的證書庫存在“D:\home\mykey.p12”，客戶端的CN（名子和姓氏）可以是任意值。雙擊mykey.p12文件，即可將證書導入至瀏覽器（客戶端）

• 讓服務端信任客戶端證書
  由于是雙向SSL認證，服務器必須要信任客戶端證書，因此，必須把客戶端證書添加為服務器的信任認證。由于不能直接將PKCS12格式的證書庫導入，必須先把客戶端證書導出為一個單獨的CER文件，使用如下命令：
  <pre>keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer </pre>
  (mykey為自定義與客戶端定義的mykey要一致，password是你設置的密碼)。通過以上命令，客戶端證書就被我們導出到“D:\home\mykey.cer”文件了。
  下一步，是將該文件導入到服務器的證書庫，添加為一個信任證書使用命令如下：
  <pre>keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore</pre>
  通過list命令查看服務器的證書庫，可以看到兩個證書，一個是服務器證書，一個是受信任的客戶端證書：
  <code>keytool -list -keystore D:\home\tomcat.keystore</code>
  (tomcat為你設置服務器端的證書名)。

  
  
  讓服務端證書信任客戶端證書

• 讓客戶端信任服務器證書
  由于是雙向SSL認證，客戶端也要驗證服務器證書，因此，必須把服務器證書添加到瀏覽的“受信任的根證書頒發機構”。由于不能直接將keystore格式的證書庫導入，必須先把服務器證書導出為一個單獨的CER文件，使用如下命令：
  keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat為你設置服務器端的證書名)。
  通過以上命令，服務器證書就被我們導出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件，按照提示安裝證書，將證書填入到“受信任的根證書頒發機構”。

  
  
  將服務器證書導出為一個單獨的CER文件
• 配置Tomcat服務器
  打開Tomcat根目錄下的/conf/server.xml，找到Connector port="8443"配置段，修改為如下：
  <pre>
  <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
  SSLEnabled="false" maxThreads="150" scheme="https"
  secure="true" clientAuth="true" sslProtocol="TLS"
  keystoreFile="D:\home\tomcat.keystore" keystorePass="123456"
  truststoreFile="D:\home\tomcat.keystore" truststorePass="123456" />
  </pre>
  （tomcat要與生成的服務端證書名一致）
  屬性說明：
  clientAuth:設置是否雙向驗證，默認為false，設置為true代表雙向驗證
  keystoreFile:服務器證書文件路徑
  keystorePass:服務器證書密碼
  truststoreFile:用來驗證客戶端證書的根證書，此例中就是服務器證書
  truststorePass:根證書密碼
• 測試
  在瀏覽器中輸入:</code>https://water.min.com:8443/</code>，會彈出選擇客戶端證書界面，點擊“確定”，會進入tomcat主頁，地址欄后會有“鎖”圖標，表示本次會話已經通過HTTPS雙向驗證，接下來的會話過程中所傳輸的信息都已經過SSL信息加密。
  
  測試.PNG

這樣就完成了tomcat上https服務的搭建！