|
Jeg skrev om krypteringsprocessen og principperne for HTTPS i min tidligere artikel, "HTTPS Excuse Encryption and Authentication".
1. HTTPS selvsigneret CA-certifikat og serverkonfiguration 1.1 Enkelt autentificering - Serverkonfiguration
Generer et servercertifikat
Selvvisumdokument
A. Indtast nøglebutiksadgangskoden: Her skal du indtaste en streng større end 6 tegn. B. "Hvad er dit for- og efternavn?" Dette er påkrævet og skal være domænenavnet eller IP-adressen på den vært, hvor TOMCAT er implementeret (hvilket er adgangsadressen, du vil indtaste i browseren i fremtiden), ellers vil browseren vise et advarselsvindue om, at brugercertifikatet ikke matcher domænet. C. Hvad hedder din organisatoriske enhed? "Hvad hedder din organisation?" "Hvad hedder din by eller region? "Hvad hedder din stat eller provins?" "Hvad er den tobogstavs landekode for denne afdeling?" "Du kan udfylde efter behov eller ej, og spørge i systemet 'Er det korrekt?' Hvis kravene er opfyldt, brug tastaturet til at indtaste bogstavet "y", ellers indtast "n" for at udfylde ovenstående oplysninger igen. D. Den indtastede nøgleadgangskode er vigtigere, den vil blive brugt i tomcat-konfigurationsfilen, det anbefales at indtaste samme adgangskode som nøglelageret, og andre adgangskoder kan også sættes; efter at have gennemført ovenstående input, indtastes du direkte for at finde den genererede fil på den position, du definerede i andet trin. Dernæst bruger du server.jks til at udstede certifikater C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Udstedelsescertifikat for rodcertifikater
Konfigurér Tomcat Find tomcat/conf/sever.xml-filen og åbn den som tekst. Find mærkaten for port 8443 og ændr den til: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Bemærk: keystoreFile: stien hvor jks-filen gemmes, og keystorePass: adgangskoden ved generering af certifikatet Test: Start Tomcat-serveren, indtast https://localhost:8443/ i browseren, og browseren sender følgende billede for at lykkes.
Konfigurationen er succesfuld
1.2 Tovejsautentificering - serverkonfiguration Generer klientcertifikater
Generer et par af sådanne filer efter metoden til at generere certifikater, som vi kalder: client.jks, client.cer. Tilføj client.cer til client_for_server.jks-filen Konfigurér serveren: Ændr etiketten på port 8443 til: Bemærk: truststoreFile: filstien for trustcertifikatet, truststorePass: hemmeligheden bag trustcertifikatet Test: Start Tomcat-serveren, indtast https://localhost:8443/ i browseren, og browseren sender følgende billede for at lykkes.
Konfigurationen er succesfuld
1.3 Eksport P12-certifikat I den forrige artikel lærte vi, at serverautentificeringsklienten skal importere et P12-certifikat på klienten, så hvordan man udsteder et P12-certifikat med rodcertifikatet. Windows-computere kan bruge Portecle til at overføre:
Windows konverterer P12-certifikater
2. Brug et digitalt certifikat fra tredjepartsserveren For tredjeparts CA-certifikater skal vi blot indsende materialer til at købe et serverrodcertifikat; den specifikke proces er som følger: 1. Først skal du oplyse serverens IP-adresse til tredjepartsorganisationen (Bemærk: IP-adressen bundet til servercertifikatet, certifikatet kan kun bruges til at verificere serveren).
2. Her beder vi tredjepartorganisationen om at give os et certifikat i .pfx-format. 3. Vi får pfx-formatcertifikatet og konverterer det til JKS-formatcertifikatet (ved hjælp af Portecle-konvertering) som vist i figuren nedenfor:
Certifikatkonvertering
4. Efter at have fået JKS-formatcertifikatet bruger vi serveren til at konfigurere Tomcat, finde tomcat/conf/sever.xml-filen, åbne den i tekstform, finde etiketten på port 8443 og ændre den til:
Konfigurér serveren
Bemærk: keystoreFile: stien hvor jks-filen gemmes, og keystorePass: adgangskoden ved generering af certifikatet 5. Efter at have gennemført ovenstående operation er konfigurationen af servercertifikatet, start Tomecat-serveren og indtast den i browserenhttps://115.28.233.131:8443, som vises som følger, indikerer succes (effekten er den samme som i 12306):
Verifikationen er succesfuld
Bemærk: Hvis du vil lave betalingsgateway-certifikater, autentificerer serverklienter hinanden, du har også brug for en identitetsautentificeringsgateway, denne gateway skal købe udstyr, der findes G2000 og G3000, G2000 er en 1U-enhed, G3000 er en 3U-enhed, prisen kan være 20 til 300.000 yuan. Efter køb af gatewayen giver tredjepartsorganisationen os certifikater, herunder servercertifikater og mobilcertifikater (som kan være flere mobile terminaler), og disse certifikater skal passere gennem deres gateways, og de certifikater, vi får udleveret, kan være JKS-formatcertifikater.
| 
Opslået på 22/03/2017 13.24.35
Udlejer