h.Connector的SSL属性实现




algorithm属性,按理来说,第一直觉应该是SSL通道执行的加密和解密算法,你可以配置n个算法在这个属性中,如RSA,DES等等。
但是,这个属性却并不是这个意思,这个属性是指对应的JSSEProvider的算法。
对于JSSE来说,它仅仅提供了一个框架,这个框架可以做SSL交互,但需要JDK厂商或者自己去实现,SUN的JDK实现了,IBM的JDK也实现了,对于每一家自己实现的内容,都需要指定一个算法,以SUN为例:

SUNX509这套算法,是指示SUNJSSE实现提供X.509标准的验证算法,也就是在SSL交互的时候,遵循X.509的标准。
当然,SUNJSSE有很多其他标准的算法,你可以选择其中的一套而已。
所以,而我们前面了解到,Tomcat中的默认的一路配置是JSSE的,在Tomcat中提供了这一个开放的配置,配合将Tomcat运行在什么JSSE的实现上,这个算法需要进行修改,默认为SUN的实现,如果运行在IBM的JDK上,那就需要指定这个参数为;
我们可以看到初始化SSL配置的时候,如果Endpoint中配置了算法这一项:

传入到KeyManagerFactory.getInstance方法中。
3.sslprotocol属性实现
当使用JSSE的SSLContext的时候,需要将SSLContext支持的协议作为构造参数传入进去:

Tomcat定义的默认的protocol协议为TLS协议,当然如果你打算使用旧版本的SSLv1,V2等等协议,你可以给Connector定义这个sslprotocol属性。
4.sslEnabledProtocol属性实现
SSLEnabledProtocol属性定义与前面的sslprotocol属性的设置有冲突,都是设定SSL通道支持的哪些协议的,尽量这两个属性设置二选一。
sslprotocol属性是设置到SSLContext.getIntance方法中,而这个SSLEnabledProtocol是直接设置到由SSLContext获得的SSLSocket中,

如果采用BIO进行通信,那么SSLEnabledProtocol的作用会覆盖掉SSLContext的设置。
5.ciphers属性实现
从SSL/TLS协议所支持的各种算法列表中,有下面的格式:

这些算法当实例化SSLContext之后,默认会带有n个算法的实现,这些算法以密钥交换算法_加密解密算法_散列算法作为分隔。
可以通过:

来获得ciper的列表。
而这个ciphers的配置,是将默认的支持的算法列表数据进行过滤,将二者取一个交集。
我们来看看Tomcat中是怎么做的:

retainAll方法就是二者取一个交集,然后这个ciphers再设置到对应的socket中去。

6.keystoreFile/keystorePass属性实现
keystoreFile和keystorePass是服务器端的文件,以JSSE的编程来看,这个文件应该以流的方式装入到KeyStore中;

然后,这个Keystore的最终目的是需要装载到KeymanagerFactory中:

KeymanagerFactory的作用是产生Keymanager,Keymanager是作为参数传入SSLContext.init方法中的。
这个流程也是SSL初始化的整个流程。
7.truststoreFile/truststorePass属性实现
truststoreFile和truststorePass是双向认证的时候用到的,存储的是客户端的秘钥库,也就是远程认证的库。
truststore整体的流程和上面的keystore差不太多,虽然是truststore,但也是通过Keystore读取流。
然后,通过TrustManagerFactory装在进来,TrustManagerFactory产生TrustManager,并传入到SSLContext.init方法;
不同的是,TrustManager作为第二个参数,而keymanager是作为第一个参数。
8.crlFile属性实现
crlFile的作用是证书的过期吊销服务,通常这个路径是一个不断变化的文件,由CA中心发布,CA中心的实时进行更新。
对于crlFile的实现,在双向认证中的TrustManager的初始化中,需要进行指定,一旦有crlFile属性的参与,不能直接TrustManagerFactory中loadTrustStore了,我们可以看到下面的实现逻辑:

总共分成3个步骤:
1.首先,需要把CRL文件的路径读取出来,然后使用CertificateFactory产生CRL对象集合
2.将这个CRL集合作为参数传递给CertStore的实例中,并再次包装为ManageFactoryParameter;
3.将ManageFactoryParameter传递给TrustManagerFactory,通过这种方式进行初始化;
可以看到,上述的代码都是JSSE的代码,而真正的CRL的实现是在JDK中。
9.sessionCacheSize/sessionTimeout属性实现
这两个属性是配置SSLSession的超时时间和缓存大小的,当SSLContext初始化之后,会生成SSLSessionContext上下文:

可以看到,这两个属性最终是设置到SSLSessionContext中去,用以Tomcat所有产生的SSLSession;
10.clientAuth属性实现
对于BIO通道中,是通过SSLSocket进行通信的,clientAuth属性设置到SSLSocket中:

对于NIO的通道,因为JSSE主要提供的接口是SSLEngine,因此这个属性需要设置到SSLEngine中:

h.Connector的SSL属性实现的更多相关文章
- OC中在.h和.m中声明的属性和成员变量有何区别?
相比Swift而言,OC规矩太多. 差不多,.h中声明的属性和成员变量均可以在子类中访问到.而.m则不可.而属性其实也就是成员变量的一种简写,其内部自动包含了getter和setter方法. 如图:V ...
- i.BIO方式的SSL通道流程
前面已经讲解了BIO通道的整体流程,对于SSL的流程是插在通道中的,在BIO通道的初始化的时候,根据Connector配置的SSLEnabled属性进行SSL的逻辑. 主要集中的位置在JIOEndpo ...
- b.Connector配置解析
前面讲解到Tomcat中使用Digester框架进行server.xml到javaBean对象的映射,这篇文章以Connector的SSL通道为例,来讲解Connector的属性是如何注入的. 先看一 ...
- tomcat8源码分析-Connector初始化
谈起Tomcat的诞生,最早可以追溯到1995年.近20年来,Tomcat始终是使用最广泛的Web服务器,由于其使用Java语言开发,所以广为Java程序员所熟悉.很多人早期的J2EE项目,由程序员自 ...
- ssl客户端与服务端通信的demo
服务端程序流程 #include <stdio.h> #include <stdlib.h> #include <errno.h> #include <str ...
- Netron开发快速上手(一):GraphControl,Shape,Connector和Connection
版权所有,引用请注明出处:<<http://www.cnblogs.com/dragon/p/5203663.html >> 本文所用示例下载FlowChart.zip 一个用 ...
- j.APR连接器整体框图(含SSL实现分析)
APR连接器的思路和bio,nio的整体架构也是类似的,可以看到下面的整体框图: 第一个区别是,对于从Acceptor线程中的socket解析这块,无论是nio还是bio都是在Acceptor线程内直 ...
- iOS 页面间几种传值方式(属性,代理,block,单例,通知)
第二个视图控制器如何获取第一个视图控制器的部分信息 例如 :第二个界面中的lable显示第一个界面textField中的文本 这就需要用到属性传值.block传值 那么第一个视图控制器如何获的第二个视 ...
- matlab图形句柄属性总结
原文在于雪漫的bloghttp://blog.sina.com.cn/s/blog_4b9b714a0100cce2.html这两天在看句柄式图形方面的东西,以下是我在看书过程中整理的学习笔记,比较详 ...
随机推荐
- LeetCode Two Sum III - Data structure design
原题链接在这里:https://leetcode.com/problems/two-sum-iii-data-structure-design/ 题目: Design and implement a ...
- 【Apache】apache简单配置URL重写规则
[概述]URL重写就是首先获得一个进入的URL请求然后把它重新写成网站可以处理的另一个URL的过程.举个例子来说,如果通过浏览器进来的URL是index.php?type=news&& ...
- linux下用户账户切换
1,)当前我已经登录一个用户hadoop,我怎么切换到root账户呢(应为一般用户经常会遇到无权限修改/etc/hosts./ect/hostname等文件的权限)? 使用命令sudo su root ...
- [原创]java WEB学习笔记101:Spring学习---Spring Bean配置:IOC容器中bean的声明周期,Bean 后置处理器
本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用 内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱 ...
- python IDE
提供给开发者 10 款最好的 Python IDE http://www.oschina.net/news/57468/best-python-ide-for-developers vim windo ...
- 提高Oracle的WHERE语句性能一些原则
索引是表的一个概念部分 , 用来提高检索数据的效率, ORACLE 使用了一个复杂的自平衡 B-tree 结构 . 通常 , 通过索引查询数据比全表扫描要快 . 当 ORACLE 找出执行查询和 Up ...
- myisam压缩(前缀压缩)索引
myisam使用前缀压缩来减少索引的大小,从而让更多的索引可以放入内存中,默认只压缩字符串,但通过参数配置也可以对整数做压缩,myisam压缩每个索引块的方法是,先完全保存索引块中的第一个值,然后将其 ...
- eclipse开启断言
断言在软件开发中是一种常用的调试方式,很多开发语言中都支持这种机制.一般来说,断言用于保证程序最基本.关键的正确性.断言检查通常在开发和测试时开启. 为了保证程序的执行效率,在软件发布后断言检查通常是 ...
- [课程设计]Scrum 3.1 多鱼点餐系统开发进度(第三阶段项目构思与任务规划)
Scrum 3.1 多鱼点餐系统开发进度(第三阶段项目构思与任务规划) 1.团队名称:重案组 2.团队目标:长期经营,积累客户充分准备,伺机而行 3.团队口号:矢志不渝,追求完美 4.团队选题:餐厅到 ...
- PHP计算时间差,并返回什么时间之前发表的内容
<?php header("Content-type: text/html; charset=utf-8"); function time2Units ($time){ $y ...