tomcat 6.0与SSL

重温战场

Quick Start
    按照以下几步你就可以为tomcat 6添加SSL支持。
     1,使用以下命令创建一个证书的keystore(有关keystore和keytool更多信息请查阅http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/keytool.html):
       %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA
       并且指定password为"changeit"
    2,打开tomcat安装目录$CATALINA_BASE/conf/server.xml下的"SSL HTTP/1.1. Connector"注释，如果有必要可以修改它
Introduction to SSL
    SSL,安全套接字层，是一种保证浏览器和服务器基于安全连接的通信技术。这意味着数据在发送前由一端加密，传输，在对该数据处理前由另一端解密。它是双向进行的，就是说服务器端和浏览器端在发送数据之前都会加密数据。
     SSL协议的另一个重要方面是认证。就是说在你通过安全连接与服务器交互之前，服务器会向浏览器提供一系列的证明，这种证明是以"证书"的形式存在的，以"证书"形式来证明该服务器端的身份和目的。有些情况，服务器也会要浏览器提供"证书"，以此来证明客户的身份和目的。服务器端请求客户端"证书"被称为"客户端认证"。实际上,"客户端认证"更多用于B2B而不用于个人。大多数支持SSL的web服务器不需要"客户端认证".
SSL and Tomcat
     一般情况下，当我们的程序运行在独立的web服务器上时我们才会使用tomcat的SSL特性。当tomcat主要作为Servlet/JSP容器运行在其它web服务器(e.g.Apache或者Microsoft IIS)之后时，我们一般配置主要的web服务器(e.g.Apache或者Microsoft IIS)来处理SSL连接。通常这些主要的web服务器会处理所有SSL相关的问题后，解密相关请求，然后把这些请求传递到Tomcat服务器。相应的,Tomcat服务器会返回明文，这些明文会由主要的web服务器加密然后传递到客户端。在这种部署环境中，Tomcat能够感知到主要web服务器和客户端在安全连接上进行的交互，但是它不用自已对消息进行加密和解密。
Certificates
     为了实现SSL,服务器必须为该服务器中部署的每个需要处理安全连接的服务提供一个相关的证书。这种设计理论就是：在浏览器接收到任何敏感信息之前，服务器必须提供合理的保证来证明该服务是由谁提供的。本文档不会对证书做深入讨论，我们可以简单的认变证书即网络地址的"数字驱动证明"。它能够证明这个网站服秀是由哪个公司提供的，并且它还提供一些其它的基础信息。
      证书是由它的所有者经过加密地签名生成的，很难被其他人伪造。对于电子商务或者其它商务类型网站，证书是非常重要的，一般向知名的证书授权(CA)机构例如VeriSign,Thawte购买证书。这些证书是可信的--证书授权机造会审核它所颁发证书，如果你信任证书授权机构的话你就可以信任这个证书。
      有些情况下，我们并不关心认证。我们只想保证数据在服务器端发送和接收过程中是秘密进行不被第三方知晓的。幸运的是，Java提供了一个相对简单的其于命令行的工具，叫做keytool，它能很容易的生成"自已签名"的证书。"自已签名"的证书仅仅是用户生成的证书，它没有经过知名的证书授权机造注册，因此该证书是没有经过认证的。证书有没有经过认证可能并不重要，这取决于你的应用。
General Tips on Running SSL
      用户第一次试图访问网站上的文档时，他一般会看到一个证书详情的对话框，并且会被询问是否接受该证书的有效性，继续浏览。一些浏览器提供一个永远信任给定证书的选项，因此你可以不必每次访问该网站时都被询问证书的有效性。一旦用户选择信任该证书，该证书至少在一次会话中是有效的。
       仅管SSL协议被设计成高效和安全的，加密/解密过程实际上会降低系统性能的。并不需要严格要求整个网站都是基于SSL通信的，开发人员可以决定哪些页面需要安全连接哪些页面不需要。对于一个适度繁忙的网站，可以定义一些涉及到敏感信息的页面运行在SSL连接下。通常登录页面，个人信息页面，购物订单页面(该页面可能包含用户的信用卡信息)需要安全连接。应用中的所有页面可以通过将http协议替换成https协议来使用安全连接。
       对安全应用程序使用基于名称的虚拟主机可能会带来问题。这是 SSL 协议本身的设计限制。必须先进行 SSL 握手（客户机浏览器在这时接受服务器证书），然后才能访问 HTTP 请求。这样，在验证之前就无法确定包含虚拟主机名的请求信息，因此也不能将多个证书指定给单个 IP 地址。如果单个 IP 地址上的所有虚拟主机都需要通过同一证书的验证，则添加多个虚拟主机将不会影响服务器上正常的 SSL 操作。但是请注意，大多数浏览器会将服务器的域名与证书中列出的域名（如果有的话，也主要适用于官方的 CA 签名证书）进行比较。如果域名不匹配，这些浏览器将显示警告。通常在生产环境中，只将基于地址的虚拟主机与 SSL 一起使用。