OV SSL证书

SSL证书采用SSL协议通信，是权威机构向网站颁发的可信凭证，具有网站身份验证和加密传输的双重功能。

SSL在应用程序协议中指定了证书(例如，HTTP，Telnet，FTP）和TCP/IP提供数据安全分层机制。它是在传输通信协议中。（TCP/IP）上述安全协议采用公共密钥技术作为TCP/IP连接提供数据加密、服务器认证、信息完整性和可选客户机认证。

SSL该证书采用公钥系统，即使用一对匹配的密钥进行数据加密和解密。每个用户设置一个特定的私钥（私钥），解密和签名；设置公钥（公钥），由一组用户共享加密和验证签名。

SSL证书部署到Web服务器后，您通过Web服务器访问网站时将使用HTTPS协议。您的网站将通过HTTPS加密协议传输数据，帮助您的Web服务器和网站之间建立可信的加密链接，以确保网络数据传输的安全。

1：先下载安装Java

2：安装完毕后，根据实际路径找到keytool.exe，如我在这里的路径：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe

3：生成keystore。打开命令行。（cmd)，去keytool所在的路径，运行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中间只需输入密码即可生成keystore，假设密码为：123456

其中：

1)keystore可以理解为一个数据库，可以存储多组数据。每组数据主要包括以下两种数据：

a:密钥实体（Keyentity）——密钥（secretkey）或私钥和配对公钥(不对称加密)

b:可信的证书实体（trustedcertificateentries）——只包含公钥

2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手动创建此文件夹)，生成keystore:keystore.p12

3）-aliastomcat，指示keystore中唯一的别名：tomcat，因为keystore中可能还有其他的别名，比如：tomcat2

4)-storePKCS12指示密钥仓库类型为PKCS12

5）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法

6)-keysize2048指定密钥的长度为2048

7)-validity3650指定证书有效期为3650天

8）-extsan=ip:请根据您的服务器IP地址设置192.168.100.132，如果不设置，客户端在访问时可能会报错

9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”

其中：”CN=(姓名与姓氏)，OU=(组织单位名称)，O=(组织名称)，L=(城市或区域名称)，ST=(州或省名)，C=(单位两字母国家代码)”，我在测试过程中发现随便填就行了

4：导出公钥证书(主要用于客户端)：

运行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466

其中：

1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件

2)-aliastomcat是指定别名为tomcat的组

3）-filemycer.当前目录生成的cer指定为mycer.cer证书

4)-storepass123456是生成keystore所用的密码

我们知道证书链的概念，所以，通过服务器返回网站证书路径，我们通过终端证书-中间证书-根证书逐步验证，如果在信任证书列表中找到根证书可以签署证书链上的证书，证书是信任的。这很容易实现，因为JavaJDK帮助我们实现了必要的验证逻辑，并且对客户端是透明的，使用默认的TrustManager：

SSLContextcontext=SSLContext.getInstance("TLS");

///Trustmanager传null将使用系统默认的“SunX509”TrustManager

context.init(null,null,null);

URLurl=newURL("https://www.baidu.com");

HttpsURLConnectionconnection=(HttpsURLConnection)url.openConnection();

connection.setSSLSocketFactory(context.getSocketFactory());

InputStreamis=connection.getInputStream();

当SSLContextinit方法的第二个参数传输到null时，Trustmanager将使用默认的Sunx509实现，代码如下：

TrustManagerFactorymgr=TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm())

mgr.init((KeyStore)null);

TrustManager[]var2=var4.getTrustMan·agers();

当然，功能也可以在TrustManager上扩展，但除非场景极其特殊，否则一般不建议做。上述验证方法在Android系统中基本相似。在启动REST接口访问时，可以根据场景使用不同的验证方法。那么，当网站嵌入网站时，如何保证访问的安全呢？以下是网站的一些方法：

当webview加载页面时，将对证书进行验证。当验证错误时，将回调该方法。Ssleror对象将传递证书。您可以在这里进行自定义验证。自定义验证逻辑可以对传入的证书进行任何自定义验证。同时，通过以上分析，可以看出，要求的安全取决于客户端和服务器之间的许多合同。同时，客户端对证书的验证是整个保证的基础。

v