1.目标

本文档指导如何在EAS中配置支持HTTPS访问，提升EAS安全等级。

EAS终端交互主要包括三类交互方式：WEB访问，GUI访问，移动访问。本文档指导在通过WEB访问，GUI访问时如何配置通过SSL协议访问。

2.GUI访问通过SSL访问

2.1 服务端设置

2.2 客户端配置

3.WEB方式通过HTTPS访问

3.1 前提

需要准备好jks文件，数字证书需要转换为jks文件。（获取方式见4）

3.2 单实例模式下配置支持HTTPS

    1、直接访问部署在应用服务器上的EAS门户系统

       这里以apusic应用服务器为例说明如何配置

       1）将数字证书转换为jks，如名称为server_keystore。

       2）将server_keystore上传至apusic的apusic\domains\server1\config目录中

       3）调整apusic的配置文件

apusic\domains\server1\config\apusic.conf

        [注] KeyPassword为server_keystore的密码，前文中使用的是652341，如果实际执行命令生成server_keystore的过程中修改了密码，这里也要保证跟实际的密码一致。Port是http访问时使用的端口；SecurePort是htpps方式访问时使用的端口

3.3 群集模式下配置支持HTTPS

    EAS群集环境下通过网络代理（NAP）访问EAS门户系统（此时不需要针对apusic做配置）

    分为三个步骤；

    1) 上传jks文件到应用服务器目录，建议放在EAS目录；

    2) 定义jks文件路径及相关密码，启用HTTPS；

        a)  8.0以上版本通过管理控制台网络代理界面修改。

        b)  8.0及以下版本需要直接修改配置文件。在keystore文件server_keystore放置到eas/server/nap/目录下，在eas/server/nap/nap.properties文件中定义如下三个参数

    certPathName=EAS安装目录\\eas\\server\\nap\\server_keystore
    kmfPsd=652341
    keystorPsd=652341

        注意 ：kmfPsd, keystorPsd需要加密存储，使用ksql.jar中KsqlUtil.encodePassword()方法加密

        c)   通过管理控制配置网络代理启用HTTPS代理

3) 运行网络代理服务，在管理控制台网络代理页面启动网络代理。

4.配置浏览器客户端

    4.1 本文前边讲到安全证书来自两个途径：

    1、直接向受信任的机构购买证书

    2、自己签发服务器安全证书

    如果服务器证书购买于受信任的机构，配置浏览器客户端的步骤有可能不需要处理，具体如何使用可根据证书的颁发机构的说明处理。这里主要是针对自己签发服务器安全证书的情况做出操作说明。在EAS上配置了SSL后，因为证书（CA）是自己签发的，通过 HTTPS 加密链接访问网站的时候会提示证书不被信任之类的。可以将证书添加到 Windows 证书管理器的“受信任的根证书”目录中，以后 HTTPS 加密访问自己的网站就不会再收到安全提示了。

   4.2 自制jks文件

使用keytool命令生成

keytool
-genkeypair
-alias alias（别名）
-keyalg RSA（算法）
-keypass keyPass（私钥保护口令）
-keystore keystore.jks（keystore文件名） 
-storepass storepass(keystore保护口令)
-storetype jks（证书类型）

示例

keytool -genkeypair -alias eas -keyalg RSA -keypass 654321 -keystore eas.jks -storepass 654321 -storetype jks

    4.3 制作测试证书 

使用keytool命令生成证书： 

生成客户端或者服务端keystore

keytool
-genkey
-alias tomcat(别名)
-keypass 654321(别名密码)
-keyalg RSA(算法)
-keysize 1024(密钥长度)
-validity 365(有效期，天单位)
-keystore D:/keys/server.keystore(指定生成证书的位置和证书名称)
-storepass 654321(获取keystore信息的密码)

示例：

keytool -genkey -alias server -keypass 654321 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/server.keystore -storepass 654321

导出cer等格式证书

keytool -export -alias client -keystore D:/keys/client.keystore -keypass 654321 -file D:/keys/client.cer

添加信任

keytool -import -v -file D:/keys/client.cer -keystore D:/keys/server.keystore -storepass 654321