大多数企业应用程序都需要在安全环境中运行。传输层安全(TLS)/安全套接 层(SSL)是一种点对点的安全传输机制,可用于验证客户端和服务器之间交换的 消息,并确保消息的完整性和机密性。TLS/SSL(或在本文中,就是“SSL”)可 满足大多数企业应用环境的安全要求,因此得到了广泛应用。
无论如何参与 SSL 保护的信息交换,服务器都需要成为 SSL 服务器。本文将 介绍如何使 GlassFish v2 应用程序服务器成为 SSL 服务器。
为了理解这些步骤,您需要理解 SSL 中的一些基本概念(比如密钥和证书) ,并对 GlassFish v2 中的 profile(配置)有所了解。
密钥和证书
密钥和证书是 SSL 中的两个重要概念。密钥用于在客户端和服务器之间的传 输中建立信任和隐私。SSL 使用公钥加密法,这种加密法是基于密钥对的。密钥 对包含一个公钥和一个私钥。如果用其中一个密钥加密了数据,则只能用密钥对 中的另外一个密钥来解密。
证书用于验证。要使用 SSL,服务器必须拥有其可以连接的每个客户端 IP 地 址的相关证书。证书标识了服务器站点的所有者并提供相关的信息。证书由其所 有者进行了加密数字签名。对于验证非常重要的网站,可以从值得信赖的知名证 书认证机构(CA)购买。但是,如果验证并不特别重要,网站也可以使用自签名 的证书。
GlassFish v2 配置
GlassFish v2 支持多种配置。每个配置都预置了配置参数,用于应用程序服 务器为某种特定用途对其进行优化。它支持三种配置:developer(开发人员)、 cluster(集群)和enterprise(企业)。
开发人员配置可优化 GlassFish v2 适用于开发环境。这表示配置参数支持类 似快速启动的目标,但是不支持登录或会话复制。集群配置将设置支持集群创建 和会话复制的配置参数。集群是一组可作为单个逻辑实体管理和监视的 GlassFish v2 实例。企业配置可优化 GlassFish v2 适用于生产环境。它支持登 录和其他安全相关的功能。
使 GlassFish v2 应用程序服务器成为 SSL 服务器
使 GlassFish v2 成为 SSL 服务器的步骤取决于应用服务器的配置。首先让 我们来查看一下使用开发人员配置时的过程。然后再查看使用企业配置时的过程 。
使用开发人员配置
再次提醒:GlassFish v2 配置预置了某种特定使用类型的配置参数。这些参 数中有一种是 Security Store,它可以确定如何存储安全和信任相关的事物,比 如证书和密钥。对于开发人员配置,Security Store 值设置为 JKS。在本例中, 服务器的证书和密钥存储在 Java keystore 文件(keystore.jks)中,而信任的 CA 签发的证书存储在证书文件(cacerts.jks)中。
安装 GlassFish v2 时,它会创建一个默认的自签名证书作为服务器证书。但 是,如果验证对您的网站非常重要,则您需要将该自签名证书替换为由 CA 签发 的数字签名证书。本节将介绍如何替换该自签名证书、如何从 CA 获得服务器证 书以及如何将服务器证书导入到 keystore。
以下步骤需要使用 keytool,它是一种密钥和证书管理工具。Keytool 在多种 版本的 Java Platform 、Standard Edition(Java SE)Development Kit(jdk )中均可获得。但是,Java SE 6 在 keytool 中添加了一些必要的功能。以下教 程基于 jdk 6 版本的 keytool。有关 keytool 的详细信息,请参阅 JDK Tools and Utilities。
应用服务器使用开发人员配置时,可采用以下步骤使 GlassFish v2 成为 SSL 服务器。
使用以下命令删除默认的自签名证书(注意:出于格式目的,以下及以后步骤 中的命令分多行显示):
keytool -delete -alias s1as -keystore keystore.jks
-storepass
其中,<store_passwd> 是 keystore 的密码,例如 mypass。注意: s1as 是 GlassFish v2 keystore 的默认别名。
使用以下命令为应用程序服务器生成新密钥对:
keytool -genkeypair -keyalg
-keystore keystore.jks -validity -alias s1as
其中,<key_alg> 是用于生成密钥对的算法,例如 RSA。 <val_days> 为证书的有效天数,例如 365。