|
O šifrovacím procesu a principech HTTPS jsem psal ve svém předchozím článku "HTTPS Excuse Encryption and Authentication".
1. HTTPS samopodepsaný CA certifikát a konfigurace serveru 1.1 Jednotná autentizace - konfigurace serveru
Generujte serverový certifikát
Dokument o samoobslužném vízu
A. Zadejte heslo do keystore: Zde musíte zadat řetězec větší než 6 znaků. B. "Jaké je vaše křestní a příjmení?" To je povinné a musí to být doménové jméno nebo IP hostitele, na kterém je TOMCAT nasazen (což je přístupová adresa, kterou v budoucnu zadáte do prohlížeče), jinak prohlížeč zobrazí varovné okno, že uživatelský certifikát neodpovídá doméně. C. Jak se jmenuje vaše organizační jednotka? "Jak se jmenuje vaše organizace?" "Jak se jmenuje vaše město nebo oblast? "Jak se jmenuje váš stát nebo provincie?" "Jaký je dvoupísmenný kód této jednotky?" "Můžete doplnit podle potřeby nebo ne, a zeptat se v systému "Je to správně?" Pokud jsou požadavky splněny, použijte klávesnici k zadání písmene "y", jinak zadejte "n" pro opětovné vyplnění výše uvedených údajů. D. Důležitější je zadané heslo klíče, které se použije v konfiguračním souboru Tomcat, doporučuje se zadat stejné heslo jako do keystore, a další hesla lze také nastavit, po dokončení výše uvedeného zadání lze přímo zadat a najít vygenerovaný soubor na pozici, kterou jste definovali ve druhém kroku. Dále použijte server.jks k vydávání certifikátů C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certifikát vydávání kořenového certifikátu
Configure Tomcat Najděte soubor tomcat/conf/sever.xml a otevřete ho jako text. Najděte štítek portu 8443 a upravte ho na: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Poznámka: keystoreFile: cesta, do které je uložen soubor jks, a keystorePass: heslo při generování certifikátu Test: Spusťte server Tomcat, zadejte https://localhost:8443/ v prohlížeči a prohlížeč zobrazí následující obrázek, aby byl úspěšný.
Konfigurace je úspěšná
1.2 Obousměrné ověřování – konfigurace serveru Generování klientských certifikátů
Vygenerujte dvojici takových souborů podle metody generování certifikátů, kterou nazýváme: client.jks, client.cer. Přidejte client.cer do souboru client_for_server.jks Konfigurujte server: Změňte štítek portu 8443 na: Poznámka: truststoreFile: cesta k souboru certifikátu důvěry, truststorePass: tajemství certifikátu důvěry Test: Spusťte server Tomcat, zadejte https://localhost:8443/ v prohlížeči a prohlížeč zobrazí následující obrázek, aby byl úspěšný.
Konfigurace je úspěšná
1.3 Exportní certifikát P12 V předchozím článku jsme se dozvěděli, že klient pro autentizaci serveru musí importovat P12 certifikát na klienta, tedy jak vydat P12 certifikát s kořenovým certifikátem. Počítače s Windows mohou použít Portecle k přenosu:
Windows převádí certifikáty P12
2. Použijte digitální certifikát serveru třetí strany U certifikátů CA třetích stran stačí jen odevzdat materiály k zakoupení kořenového certifikátu serveru, konkrétní postup je následující: 1. Nejprve musíte poskytnout IP adresu serveru třetí straně (Poznámka: IP adresa vázaná na certifikát serveru, certifikát lze použít pouze k ověření serveru).
2. Zde žádáme třetí stranu, aby nám poskytla certifikát ve formátu .pfx. 3. Získáme certifikát formátu pfx a převedeme jej na certifikát formátu jks (pomocí převodu Portecle), jak je znázorněno na obrázku níže:
Převod na certifikát
4. Po získání certifikátu formátu JKS použijeme server k konfiguraci Tomcatu, najdeme soubor tomcat/conf/sever.xml, otevřeme ho v textové podobě, najdeme štítek portu 8443 a upravíme ho na:
Konfigurujte server
Poznámka: keystoreFile: cesta, do které je uložen soubor jks, a keystorePass: heslo při generování certifikátu 5. Po dokončení výše uvedené operace je konfigurace serverového certifikátu, spustíte server Tomecat a zadejte jej do prohlížečehttps://115.28.233.131:8443, který je zobrazen následovně, označuje úspěch (efekt je stejný jako u 12306):
Ověření je úspěšné
Poznámka: Pokud chcete používat certifikáty platebních bran, serverové klienty se navzájem autentizují, potřebujete také bránu pro ověřování identity, tato brána vyžaduje nákup zařízení, existují G2000 a G3000, G2000 je zařízení 1U, G3000 je zařízení 3U, cena může být 20 až 300 000 jüanů. Po zakoupení brány nám třetí strana poskytne certifikáty, včetně serverových a mobilních certifikátů (které mohou být více mobilních terminálů), a tyto certifikáty musí procházet jejich gateway, přičemž certifikáty, které nám jsou poskytnuty, mohou být ve formátu JKS.
| 
Zveřejněno 22.03.2017 13:24:35
Pronajímatel