应苹果APP Store 要求(苹果要求所有iOS应用必须使用ATS(App Transport Security),不少项目已启用HTTPS协议,当然网上已有很多列子,但多数都是讲解自定义签名证书
一般来说,主流的Web服务软件,通常都基于两种基础密码库:OpenSSL和Java。
Tomcat、Weblogic、JBoss等,使用Java提供的密码库。通过Java的Keytool工具,生成Java Keystore(JKS)格式的证书文件。
Apache、Nginx等,使用OpenSSL提供的密码库,生成PEM、KEY、CRT等格式的证书文件。
Tomcat、Jetty服务器
如果是自定义签名证书,直接Java JDK keytool生成签名文件keystore或jks文件
找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="server.keystore"
keystorePass="证书密码"
clientAuth="false"/>
如果是CA分发证书,需要下载证书(一般包含pem和key文件),若下载文件里面有pfx文件,可以直接使用它作为签名文件
若没有需要自己去制作一个pfx文件或jks文件,命令如下:
openssl pkcs12 -export -out 213981318100861.pfx -inkey 213981318100861.key -in 213981318100861.pem
Tomcat配置如下:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/213981318100861.pfx"
keystoreType="PKCS12"
keystorePass="证书密码"
clientAuth="false"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>
####### JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)
keytool -importkeystore -srckeystore 213981318100861.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回车后输入JKS证书密码和PFX证书密码,强烈推荐将JKS密码与PFX证书密码相同,否则可能会导致Tomcat启动失败。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/your-name.jks"
keystorePass="证书密码"
clientAuth="false"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>
( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass等参数即可,其它参数请根据自己的实际情况修改 )
OK,搞定,重启Tomcat
Jetty配置
签名生成也和以上一样,就不说了
pom文件添加以下配置:
<plugin>
<groupId>org.mortbay.jetty</groupId>
<artifactId>maven-jetty-plugin</artifactId>
<version>6.1.7</version>
<configuration>
<webAppSourceDirectory>${project.basedir}/src/main/webapp</webAppSourceDirectory>
<connectors>
<connector implementation="org.mortbay.jetty.nio.SelectChannelConnector">
<port>10092</port>
<maxIdleTime>30000</maxIdleTime>
</connector>
<connector implementation="org.mortbay.jetty.security.SslSocketConnector">
<port>10093</port>
<maxIdleTime>60000</maxIdleTime>
<keystore>cert/your-name.jks</keystore>
<password>证书密码</password>
<keyPassword>证书密码</keyPassword>
</connector>
</connectors>
<webAppConfig>
<contextPath>/</contextPath>
</webAppConfig>
<scanIntervalSeconds>2</scanIntervalSeconds>
</configuration>
</plugin>
检测HTTPS是否完全符合ATS的要求,命令如下:
nscurl --ats-diagnostics --verbose 网址
如果HTTPS服务器能通过ATS特性,则上面所有测试案例都是PASS;如果某一项的Reuslt是FAIL,就找到ATS Dictionary来查看,就能知道HTTPS服务器不满足ATS哪个条件。
网友评论