Https细节和SSL证书生成(Https系列1)1:Https HTTPS(全称:安全套接字层上的超文本传输协议)的简单细节是一种以安全为目标的HTTP通道。简单来说就是HTTP的安全版本。 即在HTTP下增加SSL层，SSL(安全套接字层)是HTTPS的安全基础。 SSL提供的服务主要包括:1)对用户和服务器进行认证，确保数据发送到正确的用户和服务器；2)加密数据，防止中途被窃取；3)维护数据的完整性，确保数据在传输过程中不会被更改。网上有很多关于https更详细更专业的信息。这里我只做一个简单的描述让你有一点概念上的了解，最终完成https在android和服务器上的实现。 二:SSL证书的用途SSL证书是数字证书的一种，类似于驾照、护照、营业执照的电子副本。 SSL证书有两个主要用途:数据加密和身份认证。SSL证书遵守SSL协议，通过在客户端浏览器和Web服务器之间建立SSL安全通道，有效可信的SSL数字证书包含公钥和私钥。 公钥用于加密信息，私钥用于解释加密的信息。 因此，当浏览器指向安全域时，SSL会同时确认服务器和客户端，并创建加密方法和唯一的会话密钥。 他们可以开始一个安全的会话，保证消息的私密性和完整性。 三。自签名SSL证书所谓自签名证书是指颁发给自己的证书，所以证书的主体是不可信的，自签名证书不会被浏览器信任。当用户访问自签名证书时，浏览器会警告用户证书不可信任，需要手动确认自签名证书是否可信任，如下图:既然自签名证书不可信任，为什么其他人包括12306也在使用自签名证书？主要原因是:1)自助签证簿免费；2)相比申请CA证书，流程更简单；3)自助签证簿还可以加密数据；4)自助签证簿有效期可长期设置，免去续签的麻烦；5)自助签证簿测试起来更方便，比如你想生成多少个不同的服务器IP都可以，所以小部分个人开发者使用自助签证簿更方便。只要你能接受别人浏览你的网站时弹出的提示:不安全4:CA签名的SSL证书是颁发给自己的，而不是自签名证书。权威证书颁发机构颁发的签名证书称为:CA证书。CA证书担保持有人的身份和公钥的所有权是浏览器信任的，如下图所示:5:自签名证书生成自签名SSL证书，虽然不安全。 但是上面说的优点还是很多的，那就说说自签证的产生吧。使用:Java JDK下的keytool.exe1:先下载安装Java JDK:http://www . Oracle . com/tech network/Java/javase/downloads/JDK 8-downloads-2133151 . html 2:安装后根据实际路径找到keytool.exe，像我的在这个路径:C:\ program files(x86)\ Java \ JDK 1 . 8 . 0 _ 101 \ bin \ keytool . exe 3:生成keystore。 打开命令行(cmd)，转到keytool所在的路径，运行:keytool-genkey-alias Tomcat-storetype pkcs12-keyalg RSA-keysize 2048-keystore d:\ my keystore \ keystore . p12-Validity 3650-ext SAN = IP:192 . 168 . 100 . 132-dname " cn = Gary Yan，ou = mycompany，o = mycompany，l = gd，st = gd，c = china "只要你 每组数据主要包含以下两种数据:A:密钥实体——秘密密钥，或者私钥和配对公钥(使用非对称加密)；b:可信证书实体-仅包含公钥2)-keystore d:\mykeystore \ keystore . p12，在d:\ my keystore中指定(此文件夹需要先手动创建)，生成keystore:keystore . p123-别名tomcat，表示keystore中唯一的别名:Tomcat。因为密钥库中可能还有其他别名，例如tomcat 24)-storetype PKCS12表示密钥库类型为PKCS125)-keyalg RSA，指定加密算法，所以在本例中使用了常用的RAS加密算法。6)-keysize 2048指定密钥的长度为20487)-validity 3650指定证书的有效期为3650天。8)-ext san=ip:192.168.100.132请根据您服务器的ip地址进行设置。如果不设置，用户在访问时可能会报错9)-dname "CN= garyyan，OU= mycompany，O= mycompany，L= gd，ST= gd，c = china "其中:" CN=(名和姓)，OU=(组织名)，O=(组织名)，L=(城市c =(公司的两个字母的国家代码) "，我在测试的过程中发现随便填就可以了。4:导出公钥证书(主要在客户端使用):Run命令:其中:1)-keystore d:\ my keystore \ keystore . p12指上面的keystore文件2)-别名tomcat是指定为tomcat的组3)-文件mycer.cer指定在当前目录下生成名为mycer.cer的证书4)-storepass 123456是用于生成keystore的密码6:CA证书的应用很多，可以申请CA证书，如沃通、腾讯、阿里云等。可以根据自己的喜好申请CA证书，分为免费和不同价格。当然，一分钱一分货。对于我们个人开发者来说，一个免费的CA证书就足够了。我个人主要是想处理别人访问我的https网站时弹出“不安全”的问题。由于“不安全”的提醒感觉像钓鱼网站:p以下主要是关于去阿里云申请免费DV SSL证书。该证书将域名绑定到每个证书。如果有多个域名，可以申请多个证书。1:找到阿里云的CA证书，打开阿里云的主页。选择“产品”，然后选择“CA证书”如下图所示:2:选择:立即购买3:选择免费DV SSL(最重要的是你不需要钱:P)，立即购买，如下图所示:4:点击“确认订单”->“支付”5: 00“证书控制台”6: 00“完成”如下图所示，“接下来，下载证书:进入:“管理控制台”->“产品和服务”->“我的证书”选择“下载”8:阿里云可以生成，选择你想要的，如下图:至此，“https系列之一:Https的简单细节和SSL证书的生成”已经完成。