https的原理很简单,可以看原先转载的一篇文章《 https原理浅析》。
简单归纳:
1. 使用https通道加密需要证书密钥对,存在密钥库文件中,可以使用java生成,也可以向第三方证书机构购买。
2. 获取到密钥库keystore文件,并在tomcat等web服务器开启https,密钥库指向keystore文件。
3. 这时已经可以通过https访问了,但是如果是自己使用java生成的证书,浏览器验证提示不安全。服务端可以使用keytool从密钥库导出证书(公钥),浏览器导入证书,就能信任安全了。
4. 如果是java访问,根据https的通讯机制,也是需要验证服务器证书的。这时有两种做法,一种是将服务器导出的证书(公钥)导入到客户端jdk中, 这时客户端也能验证通过。另外一种是重写校验方法,绕过证书验证。两种做法各有利弊,第一种比较安全,防止伪冒;第二种比较方便,特别是生产上部署很多节点的时候,每个节点导入会比较麻烦。(当然如果购买比较大的第三方机构的证书,jdk中已经灌入根证书,就不需要这么麻烦了)。
SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {
//信任所有,绕过认证
public boolean isTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
return true;
}
}).build();
以下记录命令:
1. 生成密钥对
keytool -genkey -v -alias openapi -keyalg RSA -keystore D:\work\data\key\openapi.keystore -validity 36500
2. 导出证书
keytool -keystore D:\work\data\key\openapi.keystore -export -alias tomcat -file D:\home\openapi.cer
3. java客户端导入证书
keytool -import -alias openapi -keystore %java_home%/jre/lib/security/cacerts -file D:\home\openapi.cer -trustcacerts
4. tomcat开启https
<Connector port="8443" maxHttpHeaderSize="8192" protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/usr/local/cert/openapi.keystore" keystorePass="mypassword"/>