Jboss 配置HTTPSJboss 配置說(shuō)明配置jboss 的HTTP 請(qǐng)求走SSL(HTTPS協(xié)議)l 生成keystore 文件用keytool 生成server.keystor

Jboss 配置HTTPS

Jboss 配置說(shuō)明

配置jboss 的HTTP 請(qǐng)求走SSL(HTTPS協(xié)議)

l 生成keystore 文件

用keytool 生成server.keystore 文件：

進(jìn)入命令行

C:Documents and Settingsnew>

keytool -genkey -alias tc-ssl -keyalg RSA -keystore c:server.keystore -validity 3650 會(huì)提示要求輸入私鑰信息。

生成完后放入jboss安裝目錄server?faultconf下

l 修改D:jboss-4.2.2.GAserver?fault?ployjboss-web.deployerserver.xml文件

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/server.keystore" keystorePass="123456" keystoreType="jks"

/>

去掉該段注釋?zhuān)砑哟a（紅色標(biāo)注部分）

keystoreFile 后面的內(nèi)容是server.keystore 文件的相對(duì)路徑。

keystorePass 后面的內(nèi)容是生成文件是的密碼。 l 修改完成后啟動(dòng)JBOSS ，訪問(wèn)

點(diǎn)擊查看證書(shū)

是否繼續(xù)選擇是。

成功訪問(wèn)，注意端口號(hào)為配置文件中的8443，可以根據(jù)需要修改。

問(wèn)題：訪問(wèn)原來(lái)的http://127.0.0.1:8080/teamnet/project/login.jsp也同樣可以訪問(wèn)頁(yè)面 l 修改web.xml 文件，配置一個(gè)HtmlAdaptor。添加代碼：

HtmlAdaptor

An example security config that only allows users with the role JBossAdmin to access the HTML JMX console web application

/

Protection should be CONFIDENTIAL

CONFIDENTIAL

再次啟動(dòng)JBOSS 服務(wù)器，訪問(wèn)

可以看到訪問(wèn)http 已經(jīng)被自動(dòng)的轉(zhuǎn)到https 協(xié)議進(jìn)行訪問(wèn)。

l 其他相關(guān)知識(shí)：

SSL 或者Secure Socket Layer，是一種允許web 瀏覽器和web 服務(wù)器通過(guò)一個(gè)安全的連接進(jìn)行交流的技術(shù)。這意味著將被發(fā)送的數(shù)據(jù)在一端被翻譯成密碼，傳送出去，然后在另一端解開(kāi)密碼，再進(jìn)行處理。這是一個(gè)雙向的過(guò)程，也就是瀏覽器和服務(wù)器都需要在發(fā)送數(shù)據(jù)之前對(duì)它們進(jìn)行加密。

SSL 協(xié)定的另一個(gè)重要方面是認(rèn)證(Authentication)。這就是說(shuō)，在你開(kāi)始試圖通過(guò)一個(gè)安全連接與一個(gè)web 服務(wù)器交流的時(shí)候，這個(gè)服務(wù)器會(huì)要求你的瀏覽器出示一組證件，通過(guò)“鑒定”的方式來(lái)證明這就是你所聲明的網(wǎng)站。

在某些情況下，服務(wù)器還會(huì)要求你的web 瀏覽器的認(rèn)證書(shū)，證明你就是你所說(shuō)的那個(gè)人。這就是所知的“客戶認(rèn)證”，盡管實(shí)際情況中，更多地用在商務(wù)-對(duì)-商務(wù)(B2B)交易，而不是對(duì)個(gè)人用戶。

但大多數(shù)有SSL 功能的web 服務(wù)器不要求客戶認(rèn)證(Client Authentication)。

證書(shū)

為了能實(shí)施SSL ，一個(gè)web 服務(wù)器對(duì)每個(gè)接受安全連接的外部接口(IP 地址) 必須要有相應(yīng)的證書(shū)(Certificate)。關(guān)于這個(gè)設(shè)計(jì)的理論是一個(gè)服務(wù)器必須提供某種合理的保證以證明這個(gè)服務(wù)器的主人就是你所認(rèn)為的那個(gè)人。這個(gè)證書(shū)要陳述與這個(gè)網(wǎng)站相關(guān)聯(lián)的公司，以及這個(gè)網(wǎng)站的所有者或系統(tǒng)管理員的一些

基本聯(lián)系信息。

這個(gè)證書(shū)由所有人以密碼方式簽字，其他人非常難偽造。對(duì)于進(jìn)行電子商務(wù)(e-commerce)的網(wǎng)站，或其他身份認(rèn)證至關(guān)重要的任何商業(yè)交易，認(rèn)證書(shū)要向大家所熟知的認(rèn)證權(quán)威(Certificate Authority (CA))如VeriSign 或Thawte 來(lái)購(gòu)買(mǎi)。這樣的證書(shū)可用電子技術(shù)證明屬實(shí)。實(shí)際上，認(rèn)證權(quán)威單位會(huì)擔(dān)保它發(fā)出的認(rèn)證書(shū)的真實(shí)性，如果你信任發(fā)出認(rèn)證書(shū)的認(rèn)證權(quán)威單位的話，你就可以相信這個(gè)認(rèn)證書(shū)是有效的。

Java 生成證書(shū)

在許多情況下，認(rèn)證并不是真正使人擔(dān)憂的事。系統(tǒng)管理員或許只想要保證被服務(wù)器傳送和接收的數(shù)據(jù)是秘密的，不會(huì)被連接線上的偷竊者盜竊到。慶幸的是， Java 提供相對(duì)簡(jiǎn)單的被稱(chēng)為keytool 的命令行工具，可以簡(jiǎn)單地產(chǎn)生“自己簽名”的證書(shū)。自己簽名的證書(shū)只是用戶產(chǎn)生的證書(shū)，沒(méi)有正式在大家所熟知 的認(rèn)證

權(quán)威那里注冊(cè)過(guò)，因此不能確保它的真實(shí)性。但卻能保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

keytool 生產(chǎn)非簽發(fā)證書(shū)

keytool -genkey -alias tomcat -keyalg RSA -keystore d:tomcat.keystore

在此命令中，keytool 是JDK 自帶的產(chǎn)生證書(shū)的工具。把RSA 運(yùn)算法則作為主要安全運(yùn)算法則，這保證了

與其它服務(wù)器和組件的兼容性。

這個(gè)命令會(huì)在用戶的d:tomcat.keystore產(chǎn)生一個(gè)叫做"tomcat.keystore" 的新文件。你會(huì)被要求出示關(guān)于這個(gè)認(rèn)證書(shū)的一般性信息，如公司，聯(lián)系人名稱(chēng)，等等。這些信息會(huì)顯示給那些試圖訪問(wèn)你程序里安全網(wǎng)頁(yè)的用戶，以確保這里提供 的信息與他們期望的相對(duì)應(yīng)。你會(huì)被要求出示密鑰(key)

密碼，也就是這個(gè)認(rèn)

證書(shū)所特有的密碼(與其它的儲(chǔ)存在同一個(gè)keystore 文件里的認(rèn)證書(shū)不 同) 。你必須在這里使用與keystore

密碼相同的密碼。(目前，keytool 會(huì)提示你按ENTER 鍵會(huì)自動(dòng)幫你做這些) 。

如果一切順利，你現(xiàn)在就擁有了一個(gè)可以被你的服務(wù)器使用的有認(rèn)證書(shū)的keystore 文件。

注意：

提示名字和姓氏時(shí)，應(yīng)輸入服務(wù)器的DNS 域名或者IP 地址，否則，客戶端會(huì)彈出警告窗口。" 站點(diǎn)不符

"

另外，因?yàn)槭亲院灻淖C書(shū)，客戶端會(huì)彈出“非信任的機(jī)構(gòu)頒發(fā)”，這時(shí)可以點(diǎn)擊“繼續(xù)”，或者安裝該證

書(shū)，確認(rèn)自己的信任。

申請(qǐng)簽發(fā)證書(shū)

自己生產(chǎn)并簽名的證書(shū)相對(duì)用戶使不可信的，也是不安全的，所以一般我們需要向證書(shū)發(fā)放機(jī)構(gòu)去購(gòu)買(mǎi)證書(shū)，或者獲取免費(fèi)證書(shū)，下面是正式的申請(qǐng)流程和在tomcat 中的配置，jboss 或者apache 請(qǐng)參閱相關(guān)配

置。

1) 生成私鑰和公鑰對(duì)(Keystore) Create a Keystore

keytool -genkey -keyalg rsa -keystore -alias

Keytool 會(huì)提示您輸入私鑰密碼、您的姓名(Your name，填單位網(wǎng)址) 、您的部門(mén)名稱(chēng)、單位名稱(chēng)、所在城市、所在省份和國(guó)家縮寫(xiě)(中國(guó)填：CN ，其他國(guó)家填其縮寫(xiě)) ，單位名稱(chēng)一定要與證明文件上的名稱(chēng) 一致，部門(mén)名稱(chēng)(OU)可以不填。除國(guó)家縮寫(xiě)必須填CN 外，其余都可以是英文或中文。請(qǐng)一定要保存好您的私鑰

和私鑰密碼。WoTrust 不會(huì)要求您提供私 鑰文件！

(2) 生成證書(shū)請(qǐng)求文件(CSR) Generate a CSR

keytool –certreq –file certreq.csr –keystore -alias

請(qǐng)把生成的certreq.csr 文件復(fù)制和粘貼到Thawte 證書(shū)在線申請(qǐng)頁(yè)面的CSR 文本框中，或直接發(fā)給

WoTrust ，請(qǐng)等待1-2個(gè)工作日后頒發(fā)證書(shū)。

(3) 導(dǎo)入簽名證書(shū) Import Thawte Codesigning Certificate

一旦Thawte 驗(yàn)證了您的真實(shí)身份，將會(huì)頒發(fā)證書(shū)給您。您需要到Thawte 網(wǎng)站下載您的證書(shū)，請(qǐng)選擇 PKCS #7 格式證書(shū)(PKCS #7 Certificate Chain)，此證書(shū)格式含有您的證書(shū)和根證書(shū)鏈，Keytool 要求此格式證

書(shū)，請(qǐng)把證書(shū)保存到您的電腦中。

請(qǐng)使用如下命令導(dǎo)入您的證書(shū)到keystore 中，這里假設(shè)您的證書(shū)名稱(chēng)為：cert.cer ，請(qǐng)同時(shí)指明詳細(xì)路徑，

一旦成功導(dǎo)入證書(shū)，請(qǐng)及時(shí)備份您的keystore 文件：

c:jdk1.5binkeytool –import –trustcacerts –keystore -alias -file

cert.cer