为了信息安全,一般网站的用户注册和登录过程会使用加密的 HTTP(即HTTPS)传输用户的帐号和密码,这样可以防止“中间人”盗取帐号资料。
假如你的网站是用 Tomcat 直接搭建的,那么主要需要如下几个步骤:
1、购买 SSL 证书。
2、在你的服务器上生成一个私密钥匙(Private Key)。
3、在 SSL 证书销售商那里签名你的 Key。
4、将最终生成的认证证书导入 Tomcat KeyStore
5、修改 Tomcat 的配置。
下面详细讲解。
1、购买 SSL 证书
6、其他
假如你在 Tomcat 之前使用了 Apache Httpd、nginx 等方向代理,那么就需要把上面的第2,4,5步骤替换成相应的方法,详细的可以参照 GoDaddy 的官方文档:http://community.godaddy.com/help/category/ssl-certificates/186
参考资料:
Generating a Certificate Signing Request (CSR) - Tomcat 4.x/5.x/6.x
http://community.godaddy.com/help/5276/generating-a-certificate-signing-request-csr--tomcat-4x5x6x
Installing an SSL Certificate in Tomcat 4.x/5.x/6.x
http://community.godaddy.com/help/article/5239
A few frequently used SSL commands
http://shib.kuleuven.be/docs/ssl_commands.shtml
假如你的网站是用 Tomcat 直接搭建的,那么主要需要如下几个步骤:
1、购买 SSL 证书。
2、在你的服务器上生成一个私密钥匙(Private Key)。
3、在 SSL 证书销售商那里签名你的 Key。
4、将最终生成的认证证书导入 Tomcat KeyStore
5、修改 Tomcat 的配置。
下面详细讲解。
1、购买 SSL 证书
为网站添加 HTTPS 功能第一步需要购买一个SSL认证证书,目前使用比较广泛的有:
VeriSign 典型客户有 Microsoft Hotmail
Thawte 典型客户有 Google Gmail
不过这些品牌的证书价格不菲,假如你的网站只是想提供加密传输的话,可以购买 GoDaddy 的廉价SSL证书,目前报价是 $49.99/年,不过你可以通过推销链接以 $12.99/年买到,比如这个推销链接:http://www.godaddy.com/ssl/ssl-certificates.aspx?isc=IAPtssl1
2、生成私密钥匙
使用OpenSSL工具可以很容易生成私钥,不过由于我们准备给Tomcat使用,所以直接使用keytool更为方便。
转到 Tomcat 的安装目录,运行
$keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
然后它会提示你设置一个密码,使用Tomcat常用的“changeit”即可,然后根据提示输入DN信息:
输入keystore密码:changeit
再次输入新密码: changeit
您的名字与姓氏是什么?
[Unknown]: yourdomain.com
您的组织单位名称是什么?
[Unknown]: Networking
您的组织名称是什么?
[Unknown]: yourdomain.com
您所在的城市或区域名称是什么?
[Unknown]: Shenzhen
您所在的州或省份名称是什么?
[Unknown]: Guangdong
该单位的两字母国家代码是什么
[Unknown]: CN
CN=floatmark.com, OU=Networking, O=Floatmark.com, L=Shenzhen, ST=Guangdong, C=CN 正确吗?
[否]: y
输入<tomcat>的主密码 (如果和 keystore 密码相同,按回车):<直接回车>
完成后会在当前目录产生一个 tomcat.keystore 文件,然后在此基础上生成证书签名请求文件:
$ keytool -certreq -keyalg RSA -alias tomcat -file tomcat-yourdomain.csr -keystore tomcat.keystore
同样地,当它问起密码时,输入“changeit”即可,完成后你会得到一个 tomcat-yourdomain.csr 文件。
3、签名你的私钥
登录到你购买 SSL 证书商(比如 GoDaddy),根据提示会进入要求输入 CSR 的页面,用文本编辑器打开刚才生成的 tomcat-yourdomain.csr 文件,把里面的文本内容复制粘贴到页面的表单里即可。SSL 证书商会根据你的域名发送一封验证邮件到域名注册者的Email(所以你要提前注意你的域名注册的Email地址是什么,如果是错误的话需要先修正,否则收不到验证Email)。这个过程可能需要及分钟或者几小时,收到验证Email之后点击里面的链接地址就完成私钥签名了。
4、将证书导入 Tomcat
登录到你购买 SSL 的证书商,下载你的网站证书文件,在 GoDaddy 里你下载会得到一个压缩包,里面放有你的网站证书文件 yourdomain.com.crt,另外还有 GoDaddy 自己的证书(gd_cross_intermediate.crt,gd_intermediate.crt,gd_bundle.crt),这些都需要导入 tomcat 的 keystore 里的。
GoDaddy 的官方教程有些许错误,经过实验发现正确的过程如下:
a、到这里(https://certs.godaddy.com/anonymous/repository.seam)下载 valicert_class2_root.crt 文件,然后导入到 tomcat.keystore:
$ keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file valicert_class2_root.crt
b、导入 gd_cross_intermediate.crt,gd_intermediate.crt 和你网站的证书 yourdomain.com.crt:
$ keytool -import -alias cross -keystore tomcat.keystore -trustcacerts -file gd_cross_intermediate.crt
$ keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file gd_intermediate.crt
$ keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file yourdomain.com.crt
5、修改 Tomcat 配置
编辑 Tomcat 的主配置文件 server.xml,在标准的 Connector 下面增加一个 HTTPS 的 Connector,如下:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/PATH/TO/YOUR/TOMCAT/tomcat.keystore"
keystorePass="changeit" />
其中第二行是新增加的,重启 Tomcat 之后,访问 https://yourdomain.com 应该能看到安全链接的效果。
6、其他
假如你在 Tomcat 之前使用了 Apache Httpd、nginx 等方向代理,那么就需要把上面的第2,4,5步骤替换成相应的方法,详细的可以参照 GoDaddy 的官方文档:http://community.godaddy.com/help/category/ssl-certificates/186
参考资料:
Generating a Certificate Signing Request (CSR) - Tomcat 4.x/5.x/6.x
http://community.godaddy.com/help/5276/generating-a-certificate-signing-request-csr--tomcat-4x5x6x
Installing an SSL Certificate in Tomcat 4.x/5.x/6.x
http://community.godaddy.com/help/article/5239
A few frequently used SSL commands
http://shib.kuleuven.be/docs/ssl_commands.shtml
评论
发表评论