背景

目前网上流行的是HTTP协议,HTTPS协议还在逐步推广的过程中。

HTTP协议以明文发送内容,容易被攻击者窃听。HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTP协议和HTTPS协议的默认端口是不一样的,前者使用80端口,后者使用443端口。

服务器的证书需要到CA申请。CA本身也有自己的证书,客户端浏览器信任CA的证书,从而信任它颁发给其他服务器的证书。

本文介绍的内容是在局域网中使用https,CA是自己生成的。作为服务器的web是基于spring-boot搭建的。

证书的生成是在linux上使用openssl相关命令实现的。

使用了https协议,就不能再使用http协议。想要同时支持两种协议需要额外的编程来实现,而且两者的端口应该是不一样的。比如在浏览器访问http://www.baidu.com会重定向到https://www.baidu.com,但是前者使用的80端口,后者使用的443端口。

兼顾任务的复杂程度和必要程度,我选择没有再集成http协议的支持。

证书生成

流程介绍

证书的生成分为CA部分和服务端部分,因为是在局域网内使用,可以由自己来模拟CA的角色。

步骤之间的连接线表示依赖关系,比如指向root.crt的2条连接线表示生成root.crt需要用到root.key和root.csr。

各文件解析

  • .key

    秘钥文件
  • .csr

    证书申请文件
  • .crt

    证书文件
  • .p12

    证书文件导出的PKCS12格式,在配置web服务器的时候需要用到

在linux新建一个目录,比如demo-ca,然后开始生成证书吧。

CA端证书生成

root.key

[root@master66 demo-ca]# openssl genrsa -des3 -out root.key 2048


Generating RSA private key, 2048 bit long modulus

.......................................+++

......+++

e is 65537 (0x10001)

Enter pass phrase for root.key: <- 输入密码(root)

Verifying - Enter pass phrase for root.key: <- 输入密码(root)

[root@master66 demo-ca]# ll

total 4

-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key <- 生成的文件

root.csr

[root@master66 demo-ca]# openssl req -new -key root.key -out root.csr


Enter pass phrase for root.key: <- 输入key的密码(root)

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:ZheJiang

Locality Name (eg, city) [Default City]:HangZhou

Organization Name (eg, company) [Default Company Ltd]:hikvisioin

Organizational Unit Name (eg, section) []: <- 可以不输入

Common Name (eg, your name or your server's hostname) []: <- 此时不输入(根证书自己验证自己)

Email Address []:shouzheng.hz@qq.com <- 电子邮箱,可随意填写

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []: <- 可以不输入

An optional company name []: <- 可以不输入

[root@master66 demo-ca]# ll

total 8

-rw-r--r-- 1 root root 1009 Sep 25 11:30 root.csr <- 生成的文件

-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key

root.crt

[root@master66 demo-ca]# openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey root.key -in root.csr -out root.crt

参数-days设置有效期,上述生成的是10年有效期的证书。

Signature ok

subject=/C=CN/ST=ZheJiang/L=HangZhou/O=hikvisioin/emailAddress=shouzheng.hz@qq.com

Getting Private key

Enter pass phrase for root.key: <- 输入key的密码(root)

[root@master66 demo-ca]# ll

total 12

-rw-r--r-- 1 root root 1216 Sep 25 11:33 root.crt <- 生成的文件

-rw-r--r-- 1 root root 1009 Sep 25 11:30 root.csr

-rw-r--r-- 1 root root 1751 Sep 25 11:26 root.key

服务端证书生成

先创建一个子目录,用来存放服务器证书相关文件。

[root@master66 demo-ca]# mkdir server

server.key

[root@master66 demo-ca]# openssl genrsa -des3 -out server/server.key 2048


Generating RSA private key, 2048 bit long modulus

.......+++

...............+++

e is 65537 (0x10001)

Enter pass phrase for server/server.key: <- 输入密码(server)

Verifying - Enter pass phrase for server/server.key: <- 再次输入密码(server)

[root@master66 demo-ca]# ll server/

total 4

-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key <- 生成的文件

server.csr

[root@master66 demo-ca]# openssl req -new -key server/server.key -out server/server.csr


Enter pass phrase for server/server.key: <- 输入之前的密码(server)

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:ZheJiang

Locality Name (eg, city) [Default City]:HangZhou

Organization Name (eg, company) [Default Company Ltd]:hikvision

Organizational Unit Name (eg, section) []: <- 可以不输入

Common Name (eg, your name or your server's hostname) []:PC-LIJINLONG9 <- 主机名,必须填写正确

Email Address []:shouzheng.hz@qq.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

[root@master66 demo-ca]# ll server/

total 8

-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr <- 生成的文件

-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key

注意

在要求输入Common Name (eg, your name or your server's hostname)时,需要输入服务器的主机名,后续生成的证书是绑定在这个主机名上的。换言之,客户端使用其他的主机名或者ip来访问服务器,证书是不起作用的。

server.crt

[root@master66 demo-ca]# openssl x509 -req -days 3650 -sha256 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server/server.csr -out server/server.crt


Signature ok

subject=/C=CN/ST=ZheJiang/L=HangZhou/O=hikvision/CN=PC-LIJINLONG9/emailAddress=shouzheng.hz@qq.com

Getting CA Private Key

Enter pass phrase for root.key: <- 输入密码(root)

[root@master66 demo-ca]# ll server/

total 12

-rw-r--r-- 1 root root 1249 Sep 25 12:46 server.crt <- 生成的文件

-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr

-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key

server.p12

[root@master66 demo-ca]# openssl pkcs12 -export -in server/server.crt -inkey server/server.key -out  server/server.p12 -name "server"


Enter pass phrase for server/server.key: <- 输入密码(server)

Enter Export Password: <- 定义导出密码(server)

Verifying - Enter Export Password: <- 重复导出密码(server)

[root@master66 demo-ca]# ll server/

total 16

-rw-r--r-- 1 root root 1249 Sep 25 12:46 server.crt

-rw-r--r-- 1 root root 1041 Sep 25 12:43 server.csr

-rw-r--r-- 1 root root 1751 Sep 25 12:39 server.key

-rw-r--r-- 1 root root 2538 Sep 25 12:50 server.p12 <- 生成的文件

服务端配置

将上文中生成的服务端p12格式证书文件放到项目的resource目录下。

配置resource/application.properties文件:

server.ssl.key-store: classpath:server.p12

server.ssl.key-store-password: server

server.ssl.key-password: server

server.ssl.keyStoreType: PKCS12

server.ssl.keyAlias: server

完成。

客户端配置

使用浏览器

在hosts文件中配置服务器主机名的映射,注意,主机名必须和上文保持一致(参考server.csr一节),在此处应该是PC-LIJINLONG9

将上文生成的root.crt导入浏览器。

然后就可以用https协议进行访问了。

使用curl

修改/etc/hosts文件,加入主机PC-LIJINLONG9映射。

在项目根目录执行命令:

curl https://pc-lijinlong9:8080/index --cacert root.crt

参数项--cacert指定CA证书的路径,根据实际情况修改。

参考列表

  1. Enable HTTPS in Spring Boot

    这篇文章介绍了如何以最快的方式实现启用HTTPS,没有涉及CA认证的描述。
  2. tomcat/apache+https单&双向认证

    这篇文字介绍了多种认证方式的证书生成命令,介绍了基于web容器的证书配置和浏览器的数字证书导入。
  3. howto configure ssl

    这是spring-boot官方文档的一小节,介绍了如何配置ssl。

在web中使用HTTPS的更多相关文章

  1. 在 ASP.NET MVC 中使用 HTTPS (SSL/TLS)

    某些安全性较高的网页,如网上支付或用户登陆页面,可能会使用到https(SSL/TLS)来提高安全性.本文介绍了如何在ASP.NET MVC中强制某action使用https和如何进行向https页面 ...

  2. https大势已来?看腾讯专家如何在高并发压测中支持https

    WeTest 导读 用epoll编写一个高并发网络程序是很常见的任务,但在epoll中加入ssl层的支持则是一个不常见的场景.腾讯WeTest服务器压力测产品,在用户反馈中收到了不少支持https协议 ...

  3. 读《图解HTTP》有感-(确保WEB安全的HTTPS)

    写在前面 该章节分析当前使用的HTTP协议中存在的安全性问题,以及采用HTTPS协议来规避这些可能存在的缺陷 正文 1.HTTP的缺点 1.1.由于HTTP不具备加密功能,所以在通信链路上,报文是以明 ...

  4. 百度地图在web中的使用(一)

    百度地图在web中的使用(js) 背景:在公司做一个地理位置的自定义字段,需要用到地图来获取经纬度和地址,在这选择了百度地图 准备工作 注册百度地图开发者,创建应用获取key http://lbsyu ...

  5. web中集成shiro

    Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前 ...

  6. ASP.NET Web配置使用HTTPS实用案例

    Step by Step 配置使用HTTPS的ASP.NET Web应用 有关HTTPS.SSL以及SSL证书的工作原理,参见 <HTTPS那些事(一)HTTPS原理> <HTTPS ...

  7. web中浏览PDF文件

    1.在web中浏览pdf文件. 2.支持大多数主流浏览器,包括IE8 3.参考网址: https://pdfobject.com/ http://mozilla.github.io/pdf.js/ & ...

  8. redis在Web中的使用

    redis是一个键值对数据库,用于缓存数据. redis是一个key-value存储系统.和Memcached数据库类似,它支持存储的value类型相对更多,包括string(字符串).list(链表 ...

  9. web站点启用https (一)

    HTTPS技术是现在主流网站都采用的安全加密传输数据的技术,本篇文档将分为2部分讲解PKI的基本原理及在web站点配置https访问. 一.理论知识 1.PKI(public key infrastr ...

随机推荐

  1. java web轻量级开发面试教程读书笔记:建索引时我们需要权衡的因素

    场景一,数据表规模不大,就几千行,即使不建索引,查询语句的返回时间也不长,这时建索引的意义就不大.当然,若就几千行,索引所占的空间也不多,所以这种情况下,顶多属于"性价比"不高. ...

  2. 通俗易懂的Java序列化原理

    序列化能干吗? (1)通过序列化可以把数据永久地保存到硬盘上(通常存放在文件里) (2)利用序列化实现远程通信,即在网络上传送对象的字节序列. 网上搜索的都是这样的解释,抽象,难懂. 我当时看见这两问 ...

  3. linux(十二)之用户管理

    前面学习了那么多关于linux的东西,相信大家都对linux应该 有一个大概的了解了.现在给大家分享的是linux中的用户管理,接下来让我们进入正题吧! 今天其实放松了一整天了,有点后悔自己没有把这些 ...

  4. Java架构师系统培训高并发分布式电商实战activemq,netty,nginx,redis dubbo shiro jvm虚拟机视频教程下载

    15套java架构师.集群.高可用.高可扩 展.高性能.高并发.性能优化.Spring boot.Redis.ActiveMQ.Nginx.Mycat.Netty.Jvm大型分布 式项目实战视频教程 ...

  5. The First Article

    由于公司项目比较紧张,开始自己的博客之旅推迟了好几个月.今天终于按捺不住,申请了博客. 心中竟然有一丝丝兴奋,终于可以和众多博友们讨论分享我们一路走来的收获和感悟,记录下我们在工作中遇到和解决的问题, ...

  6. Project 4:Longest Ordered Subsequence

    Problem description A numeric sequence of ai is ordered if a1 < a2 < - < aN. Let the subseq ...

  7. Ubuntu下安装NVIDIA显卡驱动的教训

    今天在ubuntu16.04版本下安装了NVIDIA的显卡驱动,真的是一波十六折: 首先是在英伟达的官网上查找你自己电脑的显卡型号然后下载相应的驱动. 网址:http://www.nvidia.cn/ ...

  8. 聊聊click延迟和点击穿透

    博客原文地址:Claiyre的个人博客 https://claiyre.github.io/ 如需转载,请在文章开头注明原文地址 移动端click事件被延迟 移动端的开发经常需要监听用户的双击行为,所 ...

  9. CentOS7 安装Nginx+MySQL

    首先我们需要安装nginx的yum源 [root@AD ~]# rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-releas ...

  10. 团队作业4——第一次项目冲刺 SeCOnd DaY

    项目冲刺--Double Kill 喂喂喂,你好你好,听得见吗?这里是天霸动霸.tua广播站,我是主播小学生¥-¥ 第一次敏捷冲刺平稳的度过了第一天,第一天的任务大家也圆满完成啦[拍手庆祝],那么今天 ...