安全套接层 Secure Socket Layer (SSL)

安全套接层Secure Socket Layer(SSL)

已经成为web应用程序的安全标准机制，它为客户端和服务器端提供了一条安全的链路。如果我们访问web应用程序时，成功的建立了一条SSL连接，那么我们就可以保证：
　　1、访问的是一个合法的web站点
　　2、浏览器和服务器直接传输的数据将被加密
　　既然SSL给我们提供了安全机制，那怎么使用它呢？本文以Tomcat5.5.9为例,重点讲解如何配置？
　　一、通过JDK的keytool工具生成密钥库，然后通过密钥库导出数字证书，该证书要验证服务器身份(注：实际的应用中数字证书我们应该去CA申请，然后由CA下发证书给我们使用，本例中我们自己为自己颁布证书)。如下步骤：
1、打开命令提示符，设置path环境变量后，按下列命令生产密钥库，
keytool –genkey -alias coresun
-keystore D:\coresunStore -keyalg RSA
　　其中-genkey表示产生一个密钥库　
-alias coresun表示此密钥库别名是coresun　
-keystore D:\coresunStore表示密钥库保存在D:\coresunStore文件下
-keyalg RSA表示采用RSA哈希算法。输入上述命令回车后，会要求你输入密码(基于安全性考虑)，本例中输入coresun，
　　然后它会问你一些无聊的问题（注：现在我们是自己给自己产生密钥库，实际上当你申请证书时，这些问题是必须真实的，而且不是无聊的），输入就可以了，最后提示你keystore密码是否和coresun密钥库密码相同，相同按回车，一定要回车，因为tomcat现在只支持相同密码。然后回到D盘下，看是不是已经生成了一个coresunStore文件，如果是的话，进行下一个步骤。
　　2、输出数字证书，在命令提示符中键入如下命令：
　　keytool -export -keystore d:\coresunStore -alias coresun -rfc -file
D:\coresun.cer
提示你输入密码，本例中为coresun回到D盘下，看是否多了一个coresun.cer文件，这就是数字证书。
　　3、在IE浏览器中导入证书，打开工具菜单-->Internet选项-->内容-->证书后选择受信任的根证书颂发机构，如下图：

　　点击左侧的导入按钮，如下图：

　　点击下一步，如下图：

　　选择浏览按钮，找到证书文件，最后按提示，到最后一步，如下图：

　　点击完成。这样就将证书导入到了IE中。
　　二、配置Tomcat
　　打开Tomcat根目录下的conf文件夹下的server.xml文件，找到port="8443"的Connector标签，去掉该标签前后的注释，在加上红色文本的内容，如下所示：
<Connector port="8443" maxHttpHeaderSize="8192"
　　maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
　　enableLookups="false" disableUploadTimeout="true"
　　acceptCount="100" scheme="https" secure="true"
　　clientAuth="false" sslProtocol="TLS"
　　keystoreFile="D:\coresunStore"
keystorePass="coresun"/>
　保存文件后，启动Tomcat服务器。
　　三、打开IE，在地址栏中输入https://localhost:8443回车后，如下图所示：

　　浏览器会通过数字证书去验证服务器的身份，点击是,如下图所示：

　　看一下上图和我们平时看到的有什么变化。如果我们用另外一个浏览器访问该站点(另外一个浏览器没有导入数字证书)，会怎么样呢，如下图所示：