1、一、SSL 協議工作原理SSL 使用非對稱加密技術實現會話雙方之間信息的安全傳遞http SSL https https:/ip:port/HTTPS 實際是SSL over HTTP, 該協議通過SSL 在發送方把原始數據進行加密，在接收方解密。當我們與一個網站建立https 連接時，我們的瀏覽器與Web 要經過一個握手的過程來完成身份鑒定與密鑰交換，從而建立安全連接。不需要客戶端驗證的連接建立步驟如下：用戶瀏覽器將其SSL 版本號、加密設置參數、與session 信息發送到服務器。服務器將其SSL 版本號、加密設置參數、與session 有關的數據以及其它一些必要信息發送給瀏覽器，同時發給

2、瀏覽器的還有服務器的證書。客戶端檢查服務器證書，如果檢查失敗，提示不能建立 SSL 續。pre-master secret，并將其用服務器公鑰加密后發送給服務器。服務器用自己的私鑰解密收到的 pre-master secretmaster 。客戶端通知服務器此后發送的消息都使用這個會話密鑰進行加密已經完成本次SSL 握手。服務器通知客戶端此后發送的消息都使用這個會話密鑰進行加密已經完成本次SSL握手。需要客戶端驗證的連接建立步驟如下：用戶瀏覽器將其SSL 版本號、加密設置參數、與session 信息發送到服務器。服務器將其SSL 版本號、加密設置參數、與session 有關的數據以及其它一些必

3、要信息發送給瀏覽器，同時發給瀏覽器的還有服務器的證書。如果配置服務器的SSL需要驗證用戶身份，還要發出請求要求瀏覽器提供用戶證書。客戶端檢查服務器證書，如果檢查失敗，提示不能建立 SSL 續。pre-master secret，并將其用服務器公鑰加密后發送給服務器。書一起發送給服務器。CA pre-master 并用它通過某些算法生成本次會話的master 。客戶端通知服務器此后發送的消息都使用master secret已經完成本次SSL 握手。服務器通知客戶端此后發送的消息都使用master secret 已經完成本次SSL握手。注意：使用對稱密鑰,主要是因為對稱加密比非對稱加密要少一個數量

4、級的運算，這樣速度Web應用的一個要求。二、在Tomcat下配置SSL協議（服務器端不需要鑒別客戶身份）1、安裝jdk1.5；tomcat；J2SE1.4jsse 都是做為一個jar 包含到了J2SETocmcat(keystore)）.如果你的J2SE HYPERLINK /products/jsse/%E5%8E%BB%E4%B8%8B%E8%BD%BD SecureSocket下載下來后是一個ziplibjarjdkjsse.jar; jnet.jar; jcert.jarOPENSSL,/snapshot/ HYPERLINK /%E4%B8%8B /下CA IE PKCS#12 2、

5、配置步驟：DosjdkbinC:ProgramFilesJavajdk1.6.0_04bin，因為 Keytool 文件在這里。輸入如下命令：keytool-genkey-aliastomcat-keyalgRSA-keysize1024-validity365-keystoretomcat.keystore，如圖所示。根據提示，輸入信息，記住你所輸入的keystore(比如為 20051974)， 的主密碼時，直接按回車即可jdkbintomcat.keystore文件，將它復制到tomcatconf目錄下。tomcatconfserver.xmlSSLConnector修改為如下：注意紅色部分為你剛才記住的 keystore 的密碼https:/localhost:8443內容，如圖。選擇是就可以看到頁面了。選擇是就可以看到頁面了。注意此時地址欄加上了一個鎖，表明成功建立安全連接了三、問題/snapshot/什么是JSSE？Java 安全套接擴展 (JSSE) 提供一個框架及一個 100% 純 Java 實現的 SSL 和 TLS JSSE SSL JSSE 框架可以支撐許多不同的安全通信協議，如 SSL 2.0 和 3.0 以及