iPortal配置HTTPS加密协议-白红宇

iPortal配置HTTPS加密协议

阅读量：4163 次

发布时间：2019-05-26

本文共 3644 字，大约阅读时间需要 12 分钟。

作者：LX

一、为什么需要加密

因为 HTTP 协议，在网络中流通的信息都为明文，非常容易泄密，如果信息在传输过程中被劫持，传输的内容就完全暴露了，他还可以篡改传输的信息且不被双方察觉。为保证传输信息不被中间服务器或者其它探测软件捕获，可使用 SSL/TLS 对通信内容加密。HTTPS 报文中的任何东西都被加密，包括所有报头和荷载从而避免通讯内容被截获。

二、什么是HTTPS加密协议

HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议，是一个安全通信通道，它

是通过SSL(安全套接层)和TLS(安全传输协议)的组合使用，加密TCP载荷即HTTP报文内容，同时通过不对称密钥方式认证身份，保证传输的安全可靠

即：HTTP+加密+认证+完整性保护=HTTPS

HTTPS有如下特点：

内容加密：采用混合加密技术，中间者无法直接查看明文内容

验证身份：通过证书认证客户端访问的是自己的服务器

保护数据完整性：防止传输的内容被中间人冒充或者篡改

PS：TLS/SSL全称安全传输层协议Transport Layer Security, 是介于TCP和HTTP之间的一层安全协议，不影响原有的TCP协议和HTTP协议，所以使用HTTPS基本上不需要对HTTP页面进行太多的改造。

三、iPortal如何配置HTTPS加密协议

SuperMap iPortal 默认的 Web 容器是Tomcat有两种加密方式，下面分别介绍这两种配置 HTTPS 连接的方式:

方式一：使用JSSE配置HTTPS 加密

1）生成服务器证书（公钥）

Windows:

%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA -keystore D:\key.keystore

Unix:

$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -keystore /home/key.keystore

其中，-keystore 参数指定的是证书的存放位置，可以任意指定。

按照提示输入密码（部署时 Tomcat 默认使用“changeit”作为密码），如“123456”，输入相关信息后确认。

2）修改%iPortalROOT%\conf\server.xml 配置文件，开启 SSL

注释掉如下配置，不使用 APR：

找到 SSL HTTP/1.1 Connector 的配置，即：

去掉注释，修改如下：

在这里插入图片描述

3）重启 Tomcat，即可在8443端口通过 HTTPS 访问 Web 应用，如 https://localhost:8443/iportal 。

方式二：使用APR配置HTTPS 加密

使用 APR 方式配置 HTTPS 加密有如下步骤：

1）在 OpenSSL 网站（http://www.openssl.org/）下载 OpenSSL，在 Window 平台下可使用 OpenSSL for Windows。

2）利用 OpenSSL 生成公钥和私钥。

a) 将 OpenSSL 的 bin 目录添加到系统的 PATH 环境变量中，如 D:\OpenSSL-Win64\bin 。

b) 进入 OpenSSL>命令行，即在任意位置打开命令行窗口，输入如下命令：

openssl.exe

c) 为 Tomcat 创建一个私钥，执行如下命令行：

genrsa -des3 -out D:\tomcatkey.pem 2048

按照提示输入密码短语，例如“123456”，OpenSSL 会提示你重复输入一次确认。然后会生成一个名为 tomcatkey.pem 的私钥，D:\tomcatkey.pem 为该私钥的路径。

d) 创建一个使用该私钥的证书

创建私钥后，还需要创建一个证书，在 OpenSSL>命令行执行如下命令：

req -new -x509 -key D:\tomcatkey.pem -out D:\tomcatcert.pem -days 1095

按照提示输入 tomcatkey.pem 的密码短语，这里为“123456”（创建私钥时指定），并输入相关信息后，即生成一个周期为3年（1095天）的自签名证书，即 tomcatcert.pem，tomcatcert.pem 使用 tomcatkey.pem 这个私钥，D:\tomcatcert.pem 为该证书的路径。

3）修改%iPortalROOT%\conf\server.xml配置文件，开启 SSL。

找到 SSL HTTP/1.1 Connector 的配置，即：

去掉注释，修改如下：

在这里插入图片描述

4）重启 Tomcat，即可在 8443 端口通过 HTTPS 访问 Web 应用，如 https://localhost:8443/iportal 。

四、以 HTTPS 协议启用代理服务的配置

注意：只有iportal开启了代理服务才需要做这部分配置

SuperMap iPortal 默认使用的是 http 协议启用代理服务，也就是说，如果您注册的是 https 服务，那么该服务经 iPortal 代理后，将以 http 协议启用。门户管理员可以通过如下设置使用 https 协议启用代理服务：

iPortal 门户管理员通过 %SuperMap iPortal_HOME%/webapps/iportal/WEB-INF 目录下的 iportal.xml 文件中的子节点元素，设置服务代理相关配置，如下图所示：

scheme:设置使用什么协议启用代理服务，默认值：http，即：使用 http 协议。如果您希望使用 https 协议启用代理服务，那么此处需设置为：https。

keyStorePath：指定证书的存放位置，可以任意指定。该证书是用于 iPortal 以 HTTPS 协议启用代理服务，可以直接指定前文生成好的密钥路径即可。

keyStorePassword：设置证书的密码，即证书 key.keystore 的密码。

从上图可以看出需要修改三个地方：

1、将http的代理地址改成https的代理地址

修改proxyServerRootUrl节点代理服务地址<proxyServerRootUrl>http://{ProxyHost}:8195</proxyServerRootUrl>为<proxyServerRootUrl>https://{ProxyHost}:8195</proxyServerRootUrl>

2、将http 协议启用代理服务改成https协议启用代理服务

即将<scheme>http</scheme>修改为<scheme>https</scheme>

元素中的如下注释部分打开：

3、配置证书的存放路径和证书密码

直接按照上图标号③位置所示填写好证书路径和证书密码即可。

PS:

通过JSSE方式生成的证书直接就是keystore类型，直接配置keystore证书路径即可；但是通过APR加密方式生成的密钥是pem证书不是keystore证书，所以需要将pem证书转成keystore证书，转换方法如下：

1）首先将pem文件（包括证书和私钥）转换成pk12格式文件

执行命令说明：

OpenSSL>  pkcs12（证书类型） -export -in cert.pem（pem证书文件） -inkey key.pem（pem私钥文件） -out out.pk12（导出pk12文件） -name out（证书及私钥的友好名字）Enter pass phrase for spvkey.pem:   私钥证书密码Enter Export Password:  pk12证书加密密码Verifying - Enter Export Password:  再次输入pk12证书加密密码

如下图：

2）生成keystore

执行命令说明：

$ keytool -importkeystore -deststorepass 目标存储库口令 -destkeypass 目标密钥库口令 -destkeystore out.keystore（目标密钥库） -srckeystore out.pk12（源密钥库） -srcstoretype PKCS12（源存储类型） -srcstorepass 源存储库口令 -alias 别名

如下图：