scala - REST Lift 项目中的 SSL，从哪里开始？

Question

我们正在用 Scala 做一个项目，使用 Lift 为客户端提供一些 REST 风格的网络服务(通过 AJAX 的 Java 脚本)。出于某些商业原因，我们决定将其全部置于 SSL 之下，但我不确定从哪里开始。见解将不胜感激。

Answer 1

目前处理 HTTP 流量的任何服务器软件(例如 Jetty、Nginx、Apache...)几乎肯定有一些方法来添加 SSL 支持和禁用纯 HTTP；先试试看。

至于添加SSL支持的基 native 制，大概是这样的:

1. 生成RSA key 对( key 大小至少应为 1024 位)。此步骤应提示您填写有关您、您的组织和服务器主机名(X.509 术语中的“通用名称”)的一些信息。它还应提示您输入密码，该密码将用于加密私钥。
2. key 对由一个私钥(这是您不应该与任何人共享的部分)和一个自签名证书组成，其中包含与其他元数据，公钥。
3. 如果您想获得一个真正的卡特尔签名的 SSL 证书，这样普通公众在访问您的网站时就不会看到令人讨厌的警告，您需要生成一个证书签名请求 (CSR) 从您的 key 对并将其提交给 SSL 证书颁发机构，该证书颁发机构将创建从您的 CSR 派生的证书，但使用他们的私钥签名。幸运的是，近年来，SSL CA 业务竞争异常激烈，因此定价不应再成为主要障碍。
4. 如果您不打算获得真正的卡特尔签名 SSL 证书，您可以按原样使用私钥和自签名证书。
5. 无论哪种方式，您都需要告诉您的网络服务器如何找到证书(无论是自签名的还是 CA 签名的)和私钥。 Apache HTTPD 更喜欢将这两件事保存在单独的文件中；大多数 JVM 服务器更喜欢将它们封装在 keystore 中。一般用途的最佳 keystore 格式称为 PKCS#12，这是一个行业标准。使用单独的 key 和证书制作 PKCS#12 文件有点棘手，如果您无法弄清楚，请查看 ServerFault。 :)
6. 您通常希望将私钥密码短语放在服务器的配置文件中，因此请确保配置文件(以及包含私钥的文件)具有仍然有效的最严格的权限。