本文主要是介绍iPortal配置HTTPS加密协议,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
作者:LX
一、 为什么需要加密
因为 HTTP 协议,在网络中流通的信息都为明文,非常容易泄密,如果信息在传输过程中被劫持,传输的内容就完全暴露了,他还可以篡改传输的信息且不被双方察觉。为保证传输信息不被中间服务器或者其它探测软件捕获,可使用 SSL/TLS 对通信内容加密。HTTPS 报文中的任何东西都被加密,包括所有报头和荷载从而避免通讯内容被截获。
二、 什么是HTTPS加密协议
HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它
是通过SSL(安全套接层)和TLS(安全传输协议)的组合使用,加密TCP载荷即HTTP报文内容,同时通过不对称密钥方式认证身份,保证传输的安全可靠
即:HTTP+加密+认证+完整性保护=HTTPS
HTTPS有如下特点:
内容加密:采用混合加密技术,中间者无法直接查看明文内容
验证身份:通过证书认证客户端访问的是自己的服务器
保护数据完整性:防止传输的内容被中间人冒充或者篡改
PS:TLS/SSL全称安全传输层协议Transport Layer Security, 是介于TCP和HTTP之间的一层安全协议,不影响原有的TCP协议和HTTP协议,所以使用HTTPS基本上不需要对HTTP页面进行太多的改造。
三、iPortal如何配置HTTPS加密协议
SuperMap iPortal 默认的 Web 容器 是Tomcat有两种加密方式,下面分别介绍这两种配置 HTTPS 连接的方式:
方式一:使用JSSE配置HTTPS 加密
1)生成服务器证书(公钥)
Windows:
%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA -keystore D:\key.keystore
Unix:
$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -keystore /home/key.keystore
其中,-keystore 参数指定的是证书的存放位置,可以任意指定。
按照提示输入密码(部署时 Tomcat 默认使用“changeit”作为密码),如“123456”,输入相关信息后确认。
2)修改%iPortalROOT%\conf\server.xml 配置文件,开启 SSL
注释掉如下配置,不使用 APR:
<!--APR library loader. Documentation at /docs/apr.html -->
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
找到 SSL HTTP/1.1 Connector 的配置,即:
<!-- Define a SSL HTTP/1.1 Connector on port 8443This connector uses the JSSE configuration, when using APR, the connector should be using the OpenSSL style configurationdescribed in the APR documentation -->
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"…
-->
去掉注释,修改如下:
<Connector port="8443" protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"URIEncoding="utf-8"clientAuth="false"keystoreFile="D:\installpack\jdk\keystore\key.keystore"keystorePass="123456"sslProtocol="TLS"/>
3)重启 Tomcat,即可在8443端口通过 HTTPS 访问 Web 应用,如 https://localhost:8443/iportal 。
方式二:使用APR配置HTTPS 加密
使用 APR 方式配置 HTTPS 加密有如下步骤:
1)在 OpenSSL 网站(http://www.openssl.org/)下载 OpenSSL,在 Window 平台下可使用 OpenSSL for Windows。
2)利用 OpenSSL 生成公钥和私钥。
a) 将 OpenSSL 的 bin 目录添加到系统的 PATH 环境变量中 ,如 D:\OpenSSL-Win64\bin 。
b) 进入 OpenSSL>命令行,即在任意位置打开命令行窗口,输入如下命令:
openssl.exe
c) 为 Tomcat 创建一个私钥,执行如下命令行:
genrsa -des3 -out D:\tomcatkey.pem 2048
按照提示输入密码短语,例如“123456”,OpenSSL 会提示你重复输入一次确认。然后会生成一个名为 tomcatkey.pem 的私钥,D:\tomcatkey.pem 为该私钥的路径。
d) 创建一个使用该私钥的证书
创建私钥后,还需要创建一个证书,在 OpenSSL>命令行执行如下命令:
req -new -x509 -key D:\tomcatkey.pem -out D:\tomcatcert.pem -days 1095
按照提示输入 tomcatkey.pem 的密码短语,这里为“123456”(创建私钥时指定),并输入相关信息后,即生成一个周期为3年(1095天)的自签名证书,即 tomcatcert.pem,tomcatcert.pem 使用 tomcatkey.pem 这个私钥,D:\tomcatcert.pem 为该证书的路径。
3)修改%iPortalROOT%\conf\server.xml配置文件,开启 SSL。
找到 SSL HTTP/1.1 Connector 的配置,即:
<!-- Define a SSL HTTP/1.1 Connector on port 8443This connector uses the JSSE configuration, when using APR, the connector should be using the OpenSSL style configurationdescribed in the APR documentation -->
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"…
-->
去掉注释,修改如下:
<Connector port="8443" protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"URIEncoding="utf-8"clientAuth="false"SSLCertificateFile="D:\tomcatcert.pem"SSLCertificateKeyFile="D:\tomcatkey.pem"SSLPassword="123456"sslProtocol="TLS"/>
4) 重启 Tomcat,即可在 8443 端口通过 HTTPS 访问 Web 应用,如 https://localhost:8443/iportal 。
四、以 HTTPS 协议启用代理服务的配置
注意:只有iportal开启了代理服务才需要做这部分配置
SuperMap iPortal 默认使用的是 http 协议启用代理服务,也就是说,如果您注册的是 https 服务,那么该服务经 iPortal 代理后,将以 http 协议启用。门户管理员可以通过如下设置使用 https 协议启用代理服务:
iPortal 门户管理员通过 %SuperMap iPortal_HOME%/webapps/iportal/WEB-INF 目录下的 iportal.xml 文件中的 子节点元素,设置服务代理相关配置,如下图所示:
scheme:设置使用什么协议启用代理服务,默认值:http,即:使用 http 协议。如果您希望使用 https 协议启用代理服务,那么此处需设置为:https。
keyStorePath:指定证书的存放位置,可以任意指定。该证书是用于 iPortal 以 HTTPS 协议启用代理服务,可以直接指定前文生成好的密钥路径即可。
keyStorePassword:设置证书的密码,即证书 key.keystore 的密码。
从上图可以看出需要修改三个地方:
1、将http的代理地址改成https的代理地址
修改proxyServerRootUrl节点代理服务地址<proxyServerRootUrl>http://{ProxyHost}:8195</proxyServerRootUrl>为<proxyServerRootUrl>https://{ProxyHost}:8195</proxyServerRootUrl>
2、将http 协议启用代理服务改成https协议启用代理服务
即将<scheme>http</scheme>修改为<scheme>https</scheme>
元素中的如下注释部分打开:
3、配置证书的存放路径和证书密码
直接按照上图标号③位置所示填写好证书路径和证书密码即可。
PS:
通过JSSE方式生成的证书直接就是keystore类型,直接配置keystore证书路径即可;但是通过APR加密方式生成的密钥是pem证书不是keystore证书,所以需要将pem证书转成keystore证书,转换方法如下:
1) 首先将pem文件(包括证书和私钥)转换成pk12格式文件
执行命令说明:
OpenSSL> pkcs12(证书类型) -export -in cert.pem(pem证书文件) -inkey key.pem(pem私钥文件) -out out.pk12(导出pk12文件) -name out(证书及私钥的友好名字)Enter pass phrase for spvkey.pem: 私钥证书密码
Enter Export Password: pk12证书加密密码
Verifying - Enter Export Password: 再次输入pk12证书加密密码
如下图:
2)生成keystore
执行命令说明:
$ keytool -importkeystore -deststorepass 目标存储库口令 -destkeypass 目标密钥库口令 -destkeystore out.keystore(目标密钥库) -srckeystore out.pk12(源密钥库) -srcstoretype PKCS12(源存储类型) -srcstorepass 源存储库口令 -alias 别名
如下图:
这样就可以将pem证书转成keystore证书:
还是按照上面的配置方式,正确配置keystore证书路径即可
4、启动iportal,可以看到代理服务地址也是以https协议启动的
访问服务地址也可以正常访问:
这篇关于iPortal配置HTTPS加密协议的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
