在web中使用HTTPS
背景
目前网上流行的是HTTP协议,HTTPS协议还在逐步推广的过程中。
HTTP协议以明文发送内容,容易被攻击者窃听。HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTP协议和HTTPS协议的默认端口是不一样的,前者使用80端口,后者使用443端口。
服务器的证书需要到CA申请。CA本身也有自己的证书,客户端浏览器信任CA的证书,从而信任它颁发给其他服务器的证书。
本文介绍的内容是在局域网中使用https,CA是自己生成的。作为服务器的web是基于spring-boot搭建的。
证书的生成是在linux上使用openssl
相关命令实现的。
使用了https协议,就不能再使用http协议。想要同时支持两种协议需要额外的编程来实现,而且两者的端口应该是不一样的。比如在浏览器访问http://www.baidu.com
会重定向到https://www.baidu.com
,但是前者使用的80端口,后者使用的443端口。
兼顾任务的复杂程度和必要程度,我选择没有再集成http协议的支持。
证书生成
流程介绍
证书的生成分为CA部分和服务端部分,因为是在局域网内使用,可以由自己来模拟CA的角色。
步骤之间的连接线表示依赖关系,比如指向root.crt的2条连接线表示生成root.crt需要用到root.key和root.csr。
各文件解析
- .key
秘钥文件 - .csr
证书申请文件 - .crt
证书文件 - .p12
证书文件导出的PKCS12格式,在配置web服务器的时候需要用到
在linux新建一个目录,比如demo-ca
,然后开始生成证书吧。
CA端证书生成
root.key
[root@master66 demo-ca]# openssl genrsa -des3 -out root.key 2048
Generating RSA private key, 2048 bit long modulus
.......................................+++
......+++
e is 65537 (0x10001)
Enter pass phrase for root.key: <- 输入密码(root)
Verifying - Enter pass phrase for root.key: <- 输入密码(root)
[root@master66 demo-ca]# ll
total 4
-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key <- 生成的文件
root.csr
[root@master66 demo-ca]# openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: <- 输入key的密码(root)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:ZheJiang
Locality Name (eg, city) [Default City]:HangZhou
Organization Name (eg, company) [Default Company Ltd]:hikvisioin
Organizational Unit Name (eg, section) []: <- 可以不输入
Common Name (eg, your name or your server's hostname) []: <- 此时不输入(根证书自己验证自己)
Email Address []:shouzheng.hz@qq.com <- 电子邮箱,可随意填写
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <- 可以不输入
An optional company name []: <- 可以不输入
[root@master66 demo-ca]# ll
total 8
-rw-r--r-- 1 root root 1009 Sep 25 11:30 root.csr <- 生成的文件
-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key
root.crt
[root@master66 demo-ca]# openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
参数-days
设置有效期,上述生成的是10年有效期的证书。
Signature ok
subject=/C=CN/ST=ZheJiang/L=HangZhou/O=hikvisioin/emailAddress=shouzheng.hz@qq.com
Getting Private key
Enter pass phrase for root.key: <- 输入key的密码(root)
[root@master66 demo-ca]# ll
total 12
-rw-r--r-- 1 root root 1216 Sep 25 11:33 root.crt <- 生成的文件
-rw-r--r-- 1 root root 1009 Sep 25 11:30 root.csr
-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key
服务端证书生成
先创建一个子目录,用来存放服务器证书相关文件。
[root@master66 demo-ca]# mkdir server
server.key
[root@master66 demo-ca]# openssl genrsa -des3 -out server/server.key 2048
Generating RSA private key, 2048 bit long modulus
.......+++
...............+++
e is 65537 (0x10001)
Enter pass phrase for server/server.key: <- 输入密码(server)
Verifying - Enter pass phrase for server/server.key: <- 再次输入密码(server)
[root@master66 demo-ca]# ll server/
total 4
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key <- 生成的文件
server.csr
[root@master66 demo-ca]# openssl req -new -key server/server.key -out server/server.csr
Enter pass phrase for server/server.key: <- 输入之前的密码(server)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:ZheJiang
Locality Name (eg, city) [Default City]:HangZhou
Organization Name (eg, company) [Default Company Ltd]:hikvision
Organizational Unit Name (eg, section) []: <- 可以不输入
Common Name (eg, your name or your server's hostname) []:PC-LIJINLONG9 <- 主机名,必须填写正确
Email Address []:shouzheng.hz@qq.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@master66 demo-ca]# ll server/
total 8
-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr <- 生成的文件
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key
注意
在要求输入Common Name (eg, your name or your server's hostname)
时,需要输入服务器的主机名,后续生成的证书是绑定在这个主机名上的。换言之,客户端使用其他的主机名或者ip来访问服务器,证书是不起作用的。
server.crt
[root@master66 demo-ca]# openssl x509 -req -days 3650 -sha256 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server/server.csr -out server/server.crt
Signature ok
subject=/C=CN/ST=ZheJiang/L=HangZhou/O=hikvision/CN=PC-LIJINLONG9/emailAddress=shouzheng.hz@qq.com
Getting CA Private Key
Enter pass phrase for root.key: <- 输入密码(root)
[root@master66 demo-ca]# ll server/
total 12
-rw-r--r-- 1 root root 1249 Sep 25 12:46 server.crt <- 生成的文件
-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key
server.p12
[root@master66 demo-ca]# openssl pkcs12 -export -in server/server.crt -inkey server/server.key -out server/server.p12 -name "server"
Enter pass phrase for server/server.key: <- 输入密码(server)
Enter Export Password: <- 定义导出密码(server)
Verifying - Enter Export Password: <- 重复导出密码(server)
[root@master66 demo-ca]# ll server/
total 16
-rw-r--r-- 1 root root 1249 Sep 25 12:46 server.crt
-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key
-rw-r--r-- 1 root root 2538 Sep 25 12:50 server.p12 <- 生成的文件
服务端配置
将上文中生成的服务端p12格式证书文件放到项目的resource
目录下。
配置resource/application.properties
文件:
server.ssl.key-store: classpath:server.p12
server.ssl.key-store-password: server
server.ssl.key-password: server
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias: server
完成。
客户端配置
使用浏览器
在hosts文件中配置服务器主机名的映射,注意,主机名必须和上文保持一致(参考server.csr一节),在此处应该是PC-LIJINLONG9
。
将上文生成的root.crt导入浏览器。
然后就可以用https协议进行访问了。
使用curl
修改/etc/hosts
文件,加入主机PC-LIJINLONG9
映射。
在项目根目录执行命令:
curl https://pc-lijinlong9:8080/index --cacert root.crt
参数项--cacert
指定CA证书的路径,根据实际情况修改。
参考列表
- Enable HTTPS in Spring Boot
这篇文章介绍了如何以最快的方式实现启用HTTPS,没有涉及CA认证的描述。 - tomcat/apache+https单&双向认证
这篇文字介绍了多种认证方式的证书生成命令,介绍了基于web容器的证书配置和浏览器的数字证书导入。 - howto configure ssl
这是spring-boot官方文档的一小节,介绍了如何配置ssl。
在web中使用HTTPS的更多相关文章
- 在 ASP.NET MVC 中使用 HTTPS (SSL/TLS)
某些安全性较高的网页,如网上支付或用户登陆页面,可能会使用到https(SSL/TLS)来提高安全性.本文介绍了如何在ASP.NET MVC中强制某action使用https和如何进行向https页面 ...
- https大势已来?看腾讯专家如何在高并发压测中支持https
WeTest 导读 用epoll编写一个高并发网络程序是很常见的任务,但在epoll中加入ssl层的支持则是一个不常见的场景.腾讯WeTest服务器压力测产品,在用户反馈中收到了不少支持https协议 ...
- 读《图解HTTP》有感-(确保WEB安全的HTTPS)
写在前面 该章节分析当前使用的HTTP协议中存在的安全性问题,以及采用HTTPS协议来规避这些可能存在的缺陷 正文 1.HTTP的缺点 1.1.由于HTTP不具备加密功能,所以在通信链路上,报文是以明 ...
- 百度地图在web中的使用(一)
百度地图在web中的使用(js) 背景:在公司做一个地理位置的自定义字段,需要用到地图来获取经纬度和地址,在这选择了百度地图 准备工作 注册百度地图开发者,创建应用获取key http://lbsyu ...
- web中集成shiro
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前 ...
- ASP.NET Web配置使用HTTPS实用案例
Step by Step 配置使用HTTPS的ASP.NET Web应用 有关HTTPS.SSL以及SSL证书的工作原理,参见 <HTTPS那些事(一)HTTPS原理> <HTTPS ...
- web中浏览PDF文件
1.在web中浏览pdf文件. 2.支持大多数主流浏览器,包括IE8 3.参考网址: https://pdfobject.com/ http://mozilla.github.io/pdf.js/ & ...
- redis在Web中的使用
redis是一个键值对数据库,用于缓存数据. redis是一个key-value存储系统.和Memcached数据库类似,它支持存储的value类型相对更多,包括string(字符串).list(链表 ...
- web站点启用https (一)
HTTPS技术是现在主流网站都采用的安全加密传输数据的技术,本篇文档将分为2部分讲解PKI的基本原理及在web站点配置https访问. 一.理论知识 1.PKI(public key infrastr ...
随机推荐
- IP地址 子网掩码 默认网关 DNS(转)
突然被问到IP地址方面的知识,吓得我赶紧上网找一找资料,觉得这篇还是写得简单易懂,share一下. Key: 1.IP地址=网络地址+主机地址,(又称:主机号和网络号组成): 2.将IP地址和子网掩码 ...
- Python学习笔记之运算符之一
算数运算符 +加法运算符 -减法运算符 *乘法运算符 /除法运算符 //整除运算符 **乘积运算符(幂运算符) %取模运算符(取余) #!/usr/bin/python # -*- coding: U ...
- JSP慕课网之Session
会话保存在服务器的内存里. sessionId可以通过进入http://localhost:8888/进入Tomcat的Manager App进行查看,点击项目的sessions可以看到session ...
- Java基础---继承、抽象、接口
一.概述 继承是面向对象的一个重要特征.当多个类中存在相同属性和行为时,将这些内容抽取到单独一个类中,那么多个类无需再定义这些属性和行为,只要继那个类即可.这时,多个类可以称为子类,单 ...
- PS软件操作应用—文字特效
前 言 JRedu 在图像调整和文字工具的分享文章中,对文字工具做了简单的介绍,包括了文字的字体.字号大小.颜色以及字间距行距等等的设置和修改,都是一些基本的功能,在这次的分享中我们介绍下文字特 ...
- Ext:ComboBox实战
var gsCombo = new Ext.form.ComboBox({ id:'combo', hiddenName:'value', fieldLabel:'下拉框', triggerActio ...
- TC358775XBG:MIPI DSI转双路LVDS芯片简介
TC358775XBG是一颗MIPI DSI转双路LVDS芯片,通信方式:IIC/MIPI command mode,分辨率1920*1200,封装形式:BGA64.
- 【Java数据结构学习笔记之二】Java数据结构与算法之栈(Stack)实现
本篇是java数据结构与算法的第2篇,从本篇开始我们将来了解栈的设计与实现,以下是本篇的相关知识点: 栈的抽象数据类型 顺序栈的设计与实现 链式栈的设计与实现 栈的应用 栈的抽象数据类型 栈是 ...
- Swift4.0 Array详解
数组的介绍 数组(Array)是一串有序的由相同类型元素构成的集合,数组中的集合元素是有序的,可以重复出现.在Swift中数组类型是Array,是一个泛型集合.数组分成:可变数组和不可变数组,分别使用 ...
- [Unity 设计模式]桥接模式(BridgePattern)
1.前言 继上一讲IOC模式的基础上继续本讲桥接模式,笔者感觉桥接模式是23种设计模式中桥接模式是最好用但也是最难理解的设计模式之一,23中设计模式就好武侠剧中一本武功秘籍,我们在工作过程中想要熟练运 ...