SSL简述
SSL就是安全套接字层,是一种允许web浏览器和 web服务器通过安全连接通信的技术。这是一个双向的过程,这意味着 服务器和浏览器在发送数据之前加密所有交流的数据。
SSL有一个重要的特点,就是需要认证。也就是说当使用Web浏览器访问Server时,Server会提供给浏览器一个证书。
在使用tomcat时,存在下面几种情况:
1)默认情况下,是不启用SSL的,通过https协议访问应用肯定是失败的。
2)只启用SSL时,只能通过https协议来访问。(这里不说AJP)
3)同时启用HTTP,HTTPS,就可以通过HTTP与HTTPS同时访问了。
生成keystore
证书是需要有密钥库来支撑,KeyStore文件就代表了密钥库。Key文件有多种形式,目前Tomcat支持的keystore有:JKS,PKCS11,PKCS12。其中JKS是java keystore,是由java实现的,可以通过jdk/bin/keytool工具创建keystore文件。PKCS12是一个网络标准,可以通过OpenSSL、Microsoft的Key-Manager来管理。
下面就使用JKS来作用密钥库格式。
-keyalg是生成公钥、私钥的算法。常用的有RSA、DSA等。
使用上述使用时密码必须是一致的,这一点是Tomcat要求的。其中第一个密码是keystore文件的密码,访问这个文件需要有密码的,最后的密码是生成的key的密码。
生成的keystore文件的位置,默认是在${user.home}/.keystore,如果想要改变位置,可以使用命令:
在server.xml配置SSL
KeystorePass就是keystore文件的访问密码。你可以修改为其它的。
keystoreFIle就是keystore文件的位置,让tomcat启动时找到密钥库。
测试
测试1:只启用HTTPS,不启用HTTP
在server.xml中,为8080端口的Connector加上注释,并且去掉8443端口的Connector的注释。然后启动tomcat。
分别通过http\https访问docs:
http://localhost:8080/docs、https://localhost:8443/docs
结果:只有https可以访问。
测试2:HTTP、HTTPS同时启用
在server.xml中,去掉8080、8443端口的Connector的注释然后启动tomcat。
分别用http\https访问docs:
http://localhost:8080/docs、https://localhost:8443/docs
结果:两者都可正常访问。
redirectPort作用
先看看tomcat官方文档是如何解释的:
If this Connector is supporting non-SSL requests, and a request is received for which a matching <security-constraint> requires SSL transport, Catalina will automatically redirect the request to the port number specified here.
如果当前的connector支持非SSL请求(也就是可以以http方法访问),并且请求的资源与web.xml中<security-constraint>中指定的url匹配时,Catalina就会自动的将请求重写向到redirectport指定端口。redirectport配置是SSL connector的端口。
security-constraint 下配置的url是用于对访问者进行身份认证的配置,怎么又与SSL有关了呢?
带着这个疑问,来看看oracle官方文档中关于web.xml描述:
> web-resource-collection是配置url的。
> auth-constraint是配置身份认证的。
> user-data-constraint是用于定义客户端与server通信时对数据的处理方式。
下面是user-data-constrain下的子元素:
Transport-guarantee 值中涉及到SSL的有2个:integral、confidential:
Integral:要求client与server之间传输的数据不能被篡改。
Confidential:要求client与server之间传输的数据会被转换,不能够直接看到原始内容。