tomcat服务器安装ssl证书

常见问题

Q:

SSL证书加密算法有哪些？

1.DES对称加密算法

DES加密算法于1976年推出，是最古老的加密方法之一。DES将64个纯文本数据块分为两个单独的32个块，并对每个块进行加密，从而将明文数据的64个块转换为密文。

由于DES已经被许多安全人员破解，它不再被使用，并于2005年正式被废弃。DES最大的缺点是加密钥长度短，易于暴力破解。

2.3DES加密算法

3DES是DES算法的升级版本，在20世纪90年代末投入使用。3DSE算法在每个数据块中三次使用，比DES更难破解。但与DES一样，研究人员也在3DES算法中发现了严重的安全漏洞，这使得美国标准技术研究所在2023年后宣布废除3DES算法。

3.AES对称加密算法

AES是DES算法的替代品，也是最常用的加密算法之一。与DES不同，AES是由不同密钥长度和组大小的密码组成的一组分组密码。AES算法首先将明文数据转换为块，然后用密钥加密，AES密钥长度为128、192或256位，数据分组加密解密128位，安全性要高得多，目前广泛应用于金融、在线交易、无线通信、数字存储等领域。

4.RSA非对称算法

RSA是在1977年发明的，是目前使用最广泛的非对称算法，其安全性是基于它所依赖的素数分解。根据数论，寻找两个素数相对简单，但将其乘积因式分解极其困难，因此乘积公开可以作为加密密钥。事实证明，今天的超级计算机很难破解RSA算法。2010年，一组研究人员模拟破解768位RSA算法，发现使用超级计算机至少需要1500年才能破解。目前，RSA普遍使用2048位密钥，因此破解难度可想而知。因此，RSA算法从提出到现在已经近30年了，经历了各种攻击的考验，逐渐被人们接受，普遍认为是目前最好的公钥方案之一。

5.ECC非对称加密算法

ECC又称椭圆曲线加密算法，是一种基于椭圆曲线数学理论的非对称加密算法。与RSA相比，ECC可以使用较短的密钥来实现与RSA相同甚至更高的安全性。根据目前的研究，160位ECC加密安全性相当于1024位RSA加密，210位ECC加密安全性相当于2048位RSA加密。较短的密钥只需要较少的网络负载和计算能力，因此在SSL证书中使用ECC算法可以大大降低SSL握手时间，缩短网站响应时间。

6.SM2加密算法

SM2是中国国家密码管理局于2010年发布的基于椭圆曲线密码的公钥密码算法标准。SM2是ECC256位的一种，其密钥长度为256bit，包括数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。SM2的安全强度高于RSA2048位，而且运算速度更快，因此广泛应用于CFCA等国密证书中。

Q:

如何创建SSL证书？

1：先下载安装Java

2：安装完毕后，根据实际路径找到keytool.exe，如我在这里的路径：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe

3：生成keystore。打开命令行。（cmd)，去keytool所在的路径，运行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中间只需输入密码即可生成keystore，假设密码为：123456

其中：

1)keystore可以理解为一个数据库，可以存储多组数据。每组数据主要包括以下两种数据：

a:密钥实体（Keyentity）——密钥（secretkey）或私钥和配对公钥(不对称加密)

b:可信的证书实体（trustedcertificateentries）——只包含公钥

2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手动创建此文件夹)，生成keystore:keystore.p12

3）-aliastomcat，指示keystore中唯一的别名：tomcat，因为keystore中可能还有其他的别名，比如：tomcat2

4)-storePKCS12指示密钥仓库类型为PKCS12

5）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法

6)-keysize2048指定密钥的长度为2048

7)-validity3650指定证书有效期为3650天

8）-extsan=ip:请根据您的服务器IP地址设置192.168.100.132，如果不设置，客户端在访问时可能会报错

9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”

其中：”CN=(姓名与姓氏)，OU=(组织单位名称)，O=(组织名称)，L=(城市或区域名称)，ST=(州或省名)，C=(单位两字母国家代码)”，我在测试过程中发现随便填就行了

4：导出公钥证书(主要用于客户端)：

运行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466

其中：

1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件

2)-aliastomcat是指定别名为tomcat的组

3）-filemycer.当前目录生成的cer指定为mycer.cer证书

4)-storepass123456是生成keystore所用的密码

Q:

网站SSL证书有什么用？

针对网站本身

1、提供身份验证

在网络安全方面，身份验证是必不可少的。安装SSL证书时，网站必须通过身份验证过程。通过后，权威第三方认证机构为用户颁发的“网络身份证”实现了物理身份与网络虚拟身份的绑定，确保了网站所有者在虚拟网络世界中的真实身份。

2、防止网上钓鱼

钓鱼网站是由想窃取用户信息的人创建的虚假网站，创建者很难获得有效的SSL证书。当用户在网站上看不到安全标志时，他们更有可能离开而不输入任何信息。因此，有效的SSL证书可以防止在线钓鱼攻击访问者。

3、防止流量劫持

在网络活动中，信息可以在传输过程中被截获和篡改后转发，导致信息不完整。当信息被篡改或丢失时，网络服务提供商应使用SSL证书对信息进行数字签名和完整性保护，以避免服务器存储、传输和处理过程中的任何非教学或意外的修改、插入、删除、重发和损坏。

4、提供数据加密

电子政务和电子商务涉及的秘密或敏感信息可能在网络传输中被监控和泄露，网络服务提供商应加密这些信息。使用SSL证书加密、传输和保存秘密或敏感信息，可以向访问者表明，在网站上共享敏感信息是安全的，如信用卡号码、ID、电子邮件地址和密码。因此，SSL加强了网站客户/访客之间的信任。