在“Https系列一中:https的簡單介紹及SSL證書的生成” 中已介紹的自簽章憑證和CA證書的生成
其中有提到一個重要檔:keystore文件
回顧一下keystore是幹什麼的:
keystore可理解為一個資料庫, 可以存很多個組資料。
每組資料主要包含下面兩種資料:
a:金鑰實體(Key entity)——金鑰(secret key)又或者是私密金鑰和配對公開金鑰(採用非對稱加密)
b:可信任的證書實體(trusted certificate entries)——只包含公開金鑰
那我們現在要做的就是把keystore檔部署到伺服器中就OK了
二:下面我們先說CA證書在伺服器端的部署1:證書的下載
在阿裡雲生成的針對tomcat伺服器CA證書在申請成功後,
只要如下圖, 選“下載”->”tomcat”->”下載證書for Tomcat”
就能下載相應的tomcat證書文件。
順便補充一下, 在上圖中, 除了Tomcat外, 還可以針對其它的伺服器下相應的證書,
如:Nginx,Apache,IIS等, 有需要的請自行研究。
下載的文件如下:
2:已下載證書各文件的介紹:
1): *.pfx為keystore檔, 伺服器用的就是這個檔
2): pfx-password.txt裡包含有keystore所用到的密碼
3): *.key裡面包含的是私密金鑰, 暫時沒用到此檔
4): *.pem裡面包含的是公開金鑰, 主要給用戶端
3:針對Tomcat伺服器的部署
上圖中的”下載證書for Tomcat”那個頁面有對Tomcat伺服器的詳細配置
如下:
1):在Tomcat的安裝目錄下創建cert目錄, 並且將下載的全部檔拷貝到cert目錄中
2):找到安裝Tomcat目錄下該檔server.xml,一般預設路徑都是在 conf 資料夾中。 找到
完整的配置如下, 其中port屬性根據實際情況修改:
4:針對spring boot的部署
spring boot因為是內嵌了tomcat的, 理論上對tomcat的配置是一樣的
只不過spring boot有更簡單的配置方法
1): 把*.pfx copy到工程相應的resources下面
2):修改resourcesapplication.properties, 增加如下屬性
三:自簽章憑證在伺服器的配置
其實自簽章憑證的配置和CA證書的配置一樣
只不過:
1:把*.pfx換成你之前生成的keystore.p12
2:把密碼換成你之前生成keystore所用的密碼,
spring boot環境下, 除了增加上面的配置外, 並不需要增加任何一句代碼。
好吧, 重要的時刻來了, 運行伺服器, 輸入https網址
CA證書的如下圖, 開心吧, 你喜歡的綠色的安全標誌 :P :
自簽證書的如下圖, 顯示不安全呵, 但可點“高級”->”繼續訪問“去訪問: