|
Писах за процеса на криптиране и принципите на HTTPS в предишната си статия, "HTTPS Excuse Encryption and Authentication".
1. HTTPS самоподписан CA сертификат и конфигурация на сървъра 1.1 Единична автентикация - конфигурация на сървъра
Генериране на сървърен сертификат
Документ за самостоятелна виза
Отговор: Въведете паролата за ключарница: Тук трябва да въведете низ, по-голям от 6 знака. Б. "Какво е твоето име и фамилия?" Това е задължително и трябва да е домейн името или IP адресът на хоста, в който е разположен TOMCAT (който е адресът за достъп, който ще въведете в браузъра в бъдеще), в противен случай браузърът ще се появи предупредителен прозорец, че потребителският сертификат не съвпада с домейна. В. Как се казва вашето организационно звено? "Как се казва вашата организация?" "Как се казва твоят град или регион? "Как се казва твоят щат или провинция?" "Какъв е двубуквеният код на тази единица?" "Можеш да попълниш при нужда или не и да попиташ в системата "Вярно ли е?" Ако изискванията са изпълнени, използвайте клавиатурата, за да въведете буквата "y", в противен случай въведете "n", за да попълните горната информация отново. D. Въведената парола на ключа е по-важна, тя ще се използва в конфигурационния файл на tomcat, препоръчва се да се въведе същата парола като в keystore, а и други пароли могат да се зададат, след като изпълните горния вход, директно въведете, за да намерите генерирания файл на позицията, която дефинирахте във втората стъпка. След това използвайте server.jks за издаване на сертификати C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Сертификат за издаване на коренов сертификат
Конфигуриране на Tomcat Намерете tomcat/conf/sever.xml файла и го отворете като текст. Намерете етикета за порт 8443 и го модифицирайте до: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" порт="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Забележка: keystoreFile: пътят, по който се съхранява jks файлът, и keystorePass: паролата при генериране на сертификата Тест: Стартирайте сървъра на Tomcat, въведете https://localhost:8443/ в браузъра и браузърът показва следното изображение, за да е успешно.
Конфигурацията е успешна
1.2 Двупосочна автентикация - конфигурация на сървъра Генериране на клиентски сертификати
Генерираме двойка такива файлове според метода на генериране на сертификати, който наричаме: client.jks, client.cer. Добавете client.cer към файла client_for_server.jks Конфигурирайте сървъра: Променете етикета на порт 8443 на: Забележка: truststoreFile: пътят на файла на сертификата за доверие, truststorePass: тайната на сертификата за доверие Тест: Стартирайте сървъра на Tomcat, въведете https://localhost:8443/ в браузъра и браузърът показва следното изображение, за да е успешно.
Конфигурацията е успешна
1.3 Експортен сертификат P12 В предишната статия научихме, че клиентът за удостоверяване на сървъра трябва да импортира P12 сертификат на клиента, така че как да се издаде P12 сертификат с основния сертификат. Компютрите с Windows могат да използват Portecle за прехвърляне:
Windows конвертира P12 сертификати
2. Използвайте цифров сертификат на сървър от трета страна За сертификати за CA от трети страни, всичко, което трябва да направим, е да подадем материали за закупуване на сървърен root сертификат, като конкретният процес е следният: 1. Първо, трябва да предоставите IP адреса на сървъра на третата страна (Забележка: IP адресът, свързан със сървърния сертификат, сертификатът може да се използва само за проверка на сървъра).
2. Тук молим третата страна да ни предостави сертификат във формат .pfx. 3. Получаваме pfx формат сертификат и го конвертираме в jks формат сертификат (използвайки Portecle конверсия), както е показано на фигурата по-долу:
Преобразуване на сертификати
4. След като получим JKS форматния сертификат, използваме сървъра, за да конфигурираме Tomcat, намираме tomcat/conf/sever.xml файла, отваряме го в текстова форма, намираме етикета на порт 8443 и го модифицираме до:
Конфигурирайте сървъра
Забележка: keystoreFile: пътят, по който се съхранява jks файлът, и keystorePass: паролата при генериране на сертификата 5. След като извършите горната операция – конфигурацията на сървърния сертификат, стартирайте Tomecat сървъра и го въведете в браузъраhttps://115.28.233.131:8443, който се показва по следния начин, показва успех (ефектът е същият като този при 12306):
Проверката е успешна
Забележка: Ако искате да използвате сертификати за платежни шлюзове, сървърните клиенти се удостоверяват взаимно, ви трябва и шлюз за идентификационна автентикация, този шлюз трябва да закупите оборудване, има G2000 и G3000, G2000 е 1U устройство, G3000 е 3U устройство, цената може да е между 20 и 300 000 юана. След закупуването на шлюза, третата страна ни предоставя сертификати, включително сървърни и мобилни сертификати (които могат да бъдат няколко мобилни терминала), и тези сертификати трябва да преминат през техните шлюзове, а сертификатите, които ни дават, могат да бъдат JKS сертификати.
| 
Публикувано в 22.03.2017 г. 13:24:35 ч.
Хазяин