jav教材资料a安全_黑马程序员训练营_张孝祥.pptVIP

IT资讯交流网 WWW.IT315.ORG Java安全专题 Tip4：为Tomcat配置Https协议功能 一些基本的安全知识 密钥加密 公钥加密 数字摘要的基本应用：数据的完整性校验 MD5/SHA的应用 数字签名  keystore与keytool介绍  数字证书的创建与查看 针对数字证书的编程  keytool的其他应用 针对keystore的编程  SSL/TLS的工作原理 SSL编程——默认参数方式 SSL编程——定制SSLContext Https协议编程 Tomcat体系结构 为Tomcat配置SSL功能的实验步骤 在jdk的keytool工具帮助页面中，搜索“keystore”和”cacerts”就可以知道key的默认存储位置和信任证书的存储位置。 keytool -genkeypair （java6修改了以前的一些命令选项，所以，不能完全按tomcat的ssl部分的文档来做，另外，在命令后可以指定选项，也可以不指定选项，一些选项不指定，会采用对应的默认值，有些选项没有默认值，则会提示输入） keytool -genkeypair -alias xxx 后面部分是为证书指定别名，否则采用默认的名称为mykey。 keytool -list 和keytool -list -v 看看keystore中有哪些项目。 在演示keytool时，先产生一个key，这时候要为新创建的keystore指定password，给大家看keystore文件的位置，然后再产生一个alias相同的key，这时候必须先指定keystore的密码，才能进入该keystore，进入后报告alias重名的错误，然后再产生另外一个alias的key。 和现实生活中一样，要有权威的机构检查证书中内容的真实性，然后再签发证书（在证书上盖章）。即权威机构（CA）用自己的私钥对证书进行数字签名，而这些 CA 的公钥已经以证书的形式包含在许多操作系统中。 直接执行keytool命令，就会显示出所有选项的提示信息，在jdk文档中看keytool的帮助信息更全面。 导入数字证书： 1.to add it to the list of trusted certificates, or 2. to import a certificate reply received from a CA as the result of submitting a Certificate Signing Request (see the -certreq command) to that CA. 命令列表： 北京传智播客教育 —高级软件人才实作培训专家! 北京传智播客教育 —高级软件人才实作培训专家! 讲师：张孝祥 一些基本的安全知识 Keytool工具的使用 SSL/TLS的工作原理 Tomcat的体系结构 对称加密与非对称加密 对称加密称为密钥加密，速度快，但加密和解密的钥匙必须相同，只有通信双方才能知道钥匙 非对称加密称为公钥加密，速度慢，加密和解密的钥匙不相同，某一个人持有私钥，任何人都可以知道公钥 问题：想让任何陌生人都可以与你进行加密数据的交换，且加密速度要快，如何实现呢？ 数字摘要与MD5/SHA算法 作用：数据的完整性校验 数字签名 功能：必须能够验证内容没有修改，必须能够验证内容确实是被发送方签署 方案：发送方的公钥可以验证发送方签名的真实性，数字摘要可以验证内容没有修改 数字证书 问题：如何确认对方提供的公钥的真实性。 方案：每个人或机构的公钥和私钥由一些权威的机构产生！ 密钥加密也称为对称加密，速度快，但加密和解密的钥匙必须相同，只有通信双方才能知道钥匙。 基本步骤： 得到keyGenerator的实例对象，并调用其generateKey()方法创建SecretKey对象。 得到Cipher的实例对象，并调用其init()方法指定SecretKey对象和指定要进行加密、还是进行解密操作。 调用Cipher对象的doFinal()方法完成加密或解密操作。 扩展步骤： 把密钥保存为密钥文件并传递给对方，用密钥文件对其他文件加密后，再把加密的结果文件传递给对方，让对方用密钥文件解密。 单独使用CipherInputStream或CipherOutputStream都可以完成加密和解密操作，关键在于传入的Cipher对象的操作模式。 由于加密时所涉及的secretkey不好记忆和交换，可以使用SecretKeyFactory 将口令生成SecretKey。 公钥加密也称为非对称加密、速度慢、加密和解密的钥匙不相同，某一个人持有私钥，任何人都可以知道公钥。 基本步