在web中使用HTTPS

背景

目前网上流行的是HTTP协议，HTTPS协议还在逐步推广的过程中。

HTTP协议以明文发送内容，容易被攻击者窃听。HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTP协议和HTTPS协议的默认端口是不一样的，前者使用80端口，后者使用443端口。

服务器的证书需要到CA申请。CA本身也有自己的证书，客户端浏览器信任CA的证书，从而信任它颁发给其他服务器的证书。

本文介绍的内容是在局域网中使用https，CA是自己生成的。作为服务器的web是基于spring-boot搭建的。

证书的生成是在linux上使用openssl相关命令实现的。

使用了https协议，就不能再使用http协议。想要同时支持两种协议需要额外的编程来实现，而且两者的端口应该是不一样的。比如在浏览器访问http://www.baidu.com会重定向到https://www.baidu.com，但是前者使用的80端口，后者使用的443端口。

兼顾任务的复杂程度和必要程度，我选择没有再集成http协议的支持。

证书生成

流程介绍

证书的生成分为CA部分和服务端部分，因为是在局域网内使用，可以由自己来模拟CA的角色。

步骤之间的连接线表示依赖关系，比如指向root.crt的2条连接线表示生成root.crt需要用到root.key和root.csr。

各文件解析

• .key
  
  秘钥文件
• .csr
  
  证书申请文件
• .crt
  
  证书文件
• .p12
  
  证书文件导出的PKCS12格式，在配置web服务器的时候需要用到

在linux新建一个目录，比如demo-ca，然后开始生成证书吧。

CA端证书生成

root.key

[root@master66 demo-ca]# openssl genrsa -des3 -out root.key 2048

Generating RSA private key, 2048 bit long modulus
.......................................+++
......+++
e is 65537 (0x10001)
Enter pass phrase for root.key: <- 输入密码（root）
Verifying - Enter pass phrase for root.key: <- 输入密码（root）
[root@master66 demo-ca]# ll
total 4
-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key <- 生成的文件

root.csr

[root@master66 demo-ca]# openssl req -new -key root.key -out root.csr

Enter pass phrase for root.key: <- 输入key的密码（root）
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:ZheJiang
Locality Name (eg, city) [Default City]:HangZhou
Organization Name (eg, company) [Default Company Ltd]:hikvisioin
Organizational Unit Name (eg, section) []: <- 可以不输入
Common Name (eg, your name or your server's hostname) []: <- 此时不输入（根证书自己验证自己）
Email Address []:shouzheng.hz@qq.com <- 电子邮箱，可随意填写

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: <- 可以不输入
An optional company name []: <- 可以不输入
[root@master66 demo-ca]# ll
total 8
-rw-r--r-- 1 root root 1009 Sep 25 11:30 root.csr <- 生成的文件
-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key

root.crt

[root@master66 demo-ca]# openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey root.key -in root.csr -out root.crt

参数-days设置有效期，上述生成的是10年有效期的证书。

Signature ok
subject=/C=CN/ST=ZheJiang/L=HangZhou/O=hikvisioin/emailAddress=shouzheng.hz@qq.com
Getting Private key
Enter pass phrase for root.key: <- 输入key的密码（root）
[root@master66 demo-ca]# ll
total 12
-rw-r--r-- 1 root root 1216 Sep 25 11:33 root.crt <- 生成的文件
-rw-r--r-- 1 root root 1009 Sep 25 11:30 root.csr
-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key

服务端证书生成

先创建一个子目录，用来存放服务器证书相关文件。

[root@master66 demo-ca]# mkdir server

server.key

[root@master66 demo-ca]# openssl genrsa -des3 -out server/server.key 2048

Generating RSA private key, 2048 bit long modulus
.......+++
...............+++
e is 65537 (0x10001)
Enter pass phrase for server/server.key: <- 输入密码（server）
Verifying - Enter pass phrase for server/server.key: <- 再次输入密码（server）
[root@master66 demo-ca]# ll server/
total 4
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key <- 生成的文件

server.csr

[root@master66 demo-ca]# openssl req -new -key server/server.key -out server/server.csr

Enter pass phrase for server/server.key: <- 输入之前的密码（server）
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:ZheJiang
Locality Name (eg, city) [Default City]:HangZhou
Organization Name (eg, company) [Default Company Ltd]:hikvision
Organizational Unit Name (eg, section) []: <- 可以不输入
Common Name (eg, your name or your server's hostname) []:PC-LIJINLONG9 <- 主机名，必须填写正确
Email Address []:shouzheng.hz@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@master66 demo-ca]# ll server/
total 8
-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr <- 生成的文件
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key

注意

在要求输入Common Name (eg, your name or your server's hostname)时，需要输入服务器的主机名，后续生成的证书是绑定在这个主机名上的。换言之，客户端使用其他的主机名或者ip来访问服务器，证书是不起作用的。

server.crt

[root@master66 demo-ca]# openssl x509 -req -days 3650 -sha256 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server/server.csr -out server/server.crt

Signature ok
subject=/C=CN/ST=ZheJiang/L=HangZhou/O=hikvision/CN=PC-LIJINLONG9/emailAddress=shouzheng.hz@qq.com
Getting CA Private Key
Enter pass phrase for root.key: <- 输入密码(root)
[root@master66 demo-ca]# ll server/
total 12
-rw-r--r-- 1 root root 1249 Sep 25 12:46 server.crt <- 生成的文件
-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key

server.p12

[root@master66 demo-ca]# openssl pkcs12 -export -in server/server.crt -inkey server/server.key -out  server/server.p12 -name "server"

Enter pass phrase for server/server.key: <- 输入密码(server)
Enter Export Password: <- 定义导出密码(server)
Verifying - Enter Export Password: <- 重复导出密码(server)
[root@master66 demo-ca]# ll server/
total 16
-rw-r--r-- 1 root root 1249 Sep 25 12:46 server.crt
-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr
-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key
-rw-r--r-- 1 root root 2538 Sep 25 12:50 server.p12 <- 生成的文件

服务端配置

将上文中生成的服务端p12格式证书文件放到项目的resource目录下。

配置resource/application.properties文件：

server.ssl.key-store: classpath:server.p12
server.ssl.key-store-password: server
server.ssl.key-password: server
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias: server

完成。

客户端配置

使用浏览器

在hosts文件中配置服务器主机名的映射，注意，主机名必须和上文保持一致（参考server.csr一节），在此处应该是PC-LIJINLONG9。

将上文生成的root.crt导入浏览器。

然后就可以用https协议进行访问了。

使用curl

修改/etc/hosts文件，加入主机PC-LIJINLONG9映射。

在项目根目录执行命令：

curl https://pc-lijinlong9:8080/index --cacert root.crt

参数项--cacert指定CA证书的路径，根据实际情况修改。

参考列表

1. Enable HTTPS in Spring Boot
   
   这篇文章介绍了如何以最快的方式实现启用HTTPS，没有涉及CA认证的描述。
2. tomcat/apache+https单&双向认证
   
   这篇文字介绍了多种认证方式的证书生成命令，介绍了基于web容器的证书配置和浏览器的数字证书导入。
3. howto configure ssl
   
   这是spring-boot官方文档的一小节，介绍了如何配置ssl。