如何在本地配置https服务器
1找到jdk安装目录,运行控制台,切换到该目录;
2使用keytool为tomcat生成证书;
keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcatkeystore -validity 36500
3为客户端生成证书;
keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitestp12 -validity 36500
4将huaweitestp12导入到tomcat的信任证书链中
keytool-export -alias huawei -keystore huaweitestp12 -storetype PKCS12 -rfc -filehuaweitestcer
keytool-import -alias huawei -v -file huaweitestcer -keystore tomcatkeystore
5从tomcat的证书链里导出跟证书
keytool-export -v -alias tomcat -file CAcer-keystore tomcatkeystore
6将华为的outgoingCertpem导入tomcat的信任证书链
keytool -import -v -file outgoingCertpem -alias huawei -keystore tomcatkeystore
7将华为的capem导入tomcat的信任证书链
keytool -import -v -file capem -alias huawei_ca -keystore tomcatkeystore
8配置tomcat
双向认证:
<Connector port="28443"
protocol="orgapachecoyotehttp11Http11NioProtocol"
scheme="https" secure="true"
keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"
truststoreFile="conf/keys/tomcatkeystore" truststorePass="123$%^"
clientAuth="true" sslProtocol="TLS"
maxThreads="150" SSLEnabled="true">
单向认证:
<Connector port="28443"
protocol="orgapachecoyotehttp11Http11NioProtocol"
scheme="https" secure="true"
keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"
clientAuth="false" sslProtocol="TLS"
maxThreads="150" SSLEnabled="true">
9配置完后,可以在本地验证配置是否成功。
在服务器上进行格式转换成pem格式
openssl x509 -inform der -in CAcer -out capem
通过以下命令模拟与应用服务器建链
单向认证模拟建链:
openssl s_client -connect ip:port -tls1 -CAfile capem
双向认证模拟建链:
openssl s_client -connect ip:port -cert huaweitestpem -CAfile CApem -tls1
10将生成的huaweitestp12和CAcer证书发给华为接口人。
HTTPS的优点:
SEO方面:谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。百度站长公告优先收录HTTPS网站并且针对HTTPS网站采取认证。
安全性:尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击。但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:
1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
HTTPS的缺点:
SEO方面:据ACM CoNEXT数据显示,使用HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电。此外,HTTPS协议还会影响缓存,增加数据开销和功耗,甚至已有安全措施也会受到影响也会因此而受到影响。
而且HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。
最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。
经济方面
1、SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
2、SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。( SSL 有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性几乎没用。)
3、HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采用。流量成本太高。
4、HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS,基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
5、HTTPS 协议握手阶段比较费时,对网站的相应速度有负面影响。如非必要,没有理由牺牲用户体验。
实现HTTPS必备的几个条件:
1、独立的域名,拥有域名解析权,如果没有无法验证域名,自然无法办理证书。
2、拥有独立服务器(虚拟主机不支持)办理网站建设完毕后或有调试界面安装SSL证书。
3、淘宝搜索:Gworg,获得信任SSL证书,拿到服务器环境证书安装教程进行安装。
根据以上情况:域名、独立服务器(云服务器)、Gworg 数字证书都是属于收费产品。
1、首先在浏览器中输入地址,使用管理员账户名和密码(与ArcGIS Server Manager相同)登录。
2、点击Resources栏目中的security链接。
3、点击Resources栏目中的config链接。
4、点击Supported Operations栏目中的update链接。
5、在Security Configuration中将Protocol的值修改为“HTTP and HTTPS”,设置完成后确认即可。
不同的服务器实现全站https的方法是不同的,这里以IIS60环境为例
全站通过https访问前,请先确认网站各页面能正常通过https访问,若网站中不安全元素没有解决(即网站中仍存在外部的、js、css等链接),则强制全站https访问后会造成部分页面显示异常。
具体实现办法:
打开IIS管理器,找到需要配置SSL证书的站点,右键属性。
选择“目录安全性”,在“安全通信”区域点击“编辑”
勾选“要求安全通道(SSl)”,确定完成
修改IIS403文件。路径:C:\WINDOWS\Help\iisHelp\common\403-4htm
0条评论