昨天����,自己做服務(wù)器的安全傳輸�����,在登錄時(shí)用的是http協(xié)議�,結(jié)果自己用抓包的軟件抓到后,發(fā)現(xiàn)數(shù)據(jù)完全可以看到。組長說這樣明文傳輸太不安全了,必須要加密才可以����。在網(wǎng)上搜索了資料�,發(fā)現(xiàn)https的安全性較高�,所有嘗試用tomcat做一個(gè)https的服務(wù)器。網(wǎng)上很多教程都是不正確的,自己花了很多時(shí)間才把tomcat的https服務(wù)器搭起來,然后用android客戶端進(jìn)行訪問�����,最終做了出來�����。
1.用jdk生成tomcat的服務(wù)器與客戶端需要的證書����。
1�、生成服務(wù)器證書庫
keytool -validity 3650 -genkey -v -alias server -keyalg RSA -keystore D:/ssl/server.keystore -dname "CN=192.168.1.190,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456
2���、生成客戶端證書庫
keytool -validity 3650 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore D:/ssl/client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456
3����、從客戶端證書庫中導(dǎo)出客戶端證書
keytool -export -v -alias client -keystore D:/ssl/client.p12 -storetype PKCS12 -storepass 123456 -rfc -file D:/ssl/client.cer
4、從服務(wù)器證書庫中導(dǎo)出服務(wù)器證書
keytool -export -v -alias server -keystore D:/ssl/server.keystore -storepass 123456 -rfc -file D:/ssl/server.cer
5���、生成客戶端信任證書庫(由服務(wù)端證書生成的證書庫)
keytool -import -v -alias server -file D:/ssl/server.cer -keystore D:/ssl/client.truststore -storepass 123456
6、將客戶端證書導(dǎo)入到服務(wù)器證書庫(使得服務(wù)器信任客戶端證書)
keytool -import -v -alias client -file D:/ssl/client.cer -keystore D:/ssl/server.keystore -storepass 123456
7����、查看證書庫中的全部證書
keytool -list -keystore D:/ssl/server.keystore -storepass 123456
此時(shí)已經(jīng)生成有效期是10年的自定義證書�,其中1���、生成服務(wù)器證書庫的CN=192.168.1.190必須是tomcat服務(wù)器的ip地址�,自己需要根據(jù)自己的ip地址設(shè)置。此時(shí)在d盤的ssl文件夾下生成了5個(gè)文件��,如果的盤之前沒有ssl文件夾����,記得新建一個(gè)�,然后運(yùn)行之前的代碼���。會(huì)得到server.cer����、client.cer(公鑰)、server.keystore(服務(wù)器密鑰庫)等幾個(gè)文件。server.cer會(huì)在Android客戶端的時(shí)候使用�,用來加密信息����。
2.Tomcat配置
編輯${catalina.base}/conf/server.xml文件(${catalina.base}指Tomcat的安裝目錄)����。找到Connector port="8443"的標(biāo)簽��,取消注釋�����,并修改成如下:
<Connector port="8443" PRotocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="${catalina.base}/key/server.keystore" keystorePass="123456" truststoreFile="${catalina.base}/key/server.keystore" truststorePass="123456"/>
備注:
keystoreFile:指定服務(wù)器密鑰庫,可以配置成絕對(duì)路徑�,如“D:/apache-tomcat-7.0.55/key/server.keystore”��,這是我的tomcat的絕對(duì)路徑,根據(jù)自己的情況修改�。本例中使用相對(duì)路徑���,且在Tomcat目錄中創(chuàng)建了一個(gè)名稱為key的文件夾�,僅供參考����。
keystorePass:密鑰庫生成時(shí)的密碼
truststoreFile:受信任密鑰庫,和密鑰庫相同即可
truststorePass:受信任密鑰庫密碼
此時(shí)點(diǎn)擊server.cer����,瀏覽器會(huì)提示是否安裝證書�,點(diǎn)擊安裝即可�����。
此時(shí)啟動(dòng)tomcat�����,用https://localhost:8080/訪問即可��。
