|
Ich habe in meinem vorherigen Artikel "HTTPS Excuse Encryption and Authentication" über den Verschlüsselungsprozess und die Prinzipien von HTTPS geschrieben.
1. HTTPS-selbstsigniertes CA-Zertifikat und Serverkonfiguration 1.1 Einzelne Authentifizierung – Serverkonfiguration
Erstellen Sie ein Serverzertifikat
Selbstvisum-Dokument
A. Geben Sie das Keystore-Passwort ein: Hier müssen Sie eine Zeichenkette größer als 6 Zeichen eingeben. B. "Wie ist dein Vor- und Nachname?" Dies ist erforderlich und muss der Domainname oder die IP des Hosts sein, auf dem TOMCAT bereitgestellt wird (was die Zugriffsadresse ist, die Sie in Zukunft im Browser eingeben werden), andernfalls erscheint im Browser ein Warnfenster, dass das Benutzerzertifikat nicht mit der Domain übereinstimmt. C. Wie heißt Ihre Organisationseinheit? "Wie heißt Ihre Organisation?" "Wie heißt deine Stadt oder Region? "Wie heißt dein Bundesstaat oder deine Provinz?" "Wie lautet der zweibuchstabige Ländercode dieser Einheit?" "Du kannst dich nach Bedarf einfügen oder nicht und im System fragen: "Stimmt das?" Wenn die Anforderungen erfüllt sind, verwenden Sie die Tastatur, um den Buchstaben "y" einzugeben, ansonsten geben Sie "n" ein, um die oben genannten Informationen erneut einzufüllen. D. Das eingegebene Schlüsselpasswort ist wichtiger, es wird in der Tomcat-Konfigurationsdatei verwendet, es wird empfohlen, dasselbe Passwort wie im Keystore einzugeben, und andere Passwörter können ebenfalls gesetzt werden; nach Abschluss der obigen Eingabe geben Sie direkt ein, um die generierte Datei an der von Ihnen im zweiten Schritt definierten Position zu finden. Als Nächstes verwenden Sie server.jks, um Zertifikate auszustellen C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Zertifikat für die Ausstellung von Root-Zertifikaten
Tomcat konfigurieren Finde die Tomcat/conf/sever.xml-Datei und öffne sie als Text. Finde das Label für Port 8443 und ändere es zu: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Hinweis: keystoreFile: der Pfad, auf dem die JKS-Datei gespeichert wird, und keystorePass: das Passwort bei der Erstellung des Zertifikats Test: Starte den Tomcat-Server, gib die https://localhost:8443/ im Browser ein, und der Browser zeigt das folgende Bild als erfolgreich an.
Die Konfiguration ist erfolgreich
1.2 Bidirektionale Authentifizierung – Serverkonfiguration Client-Zertifikate generieren
Erzeugen wir ein Paar solcher Dateien entsprechend der Methode zur Zertifikatserstellung, die wir client.jks nennen, client.cer. Füge client.cer der Datei client_for_server.jks hinzu Konfigurieren Sie den Server: Ändern Sie das Label von Port 8443 zu: Hinweis: truststoreFile: der Dateipfad des Trustzertifikats, truststorePass: das Geheimnis des Trustzertifikats Test: Starte den Tomcat-Server, gib die https://localhost:8443/ im Browser ein, und der Browser zeigt das folgende Bild als erfolgreich an.
Die Konfiguration ist erfolgreich
1.3 Export P12-Zertifikat Im vorherigen Artikel haben wir gelernt, dass der Server-Authentifizierungsclient ein P12-Zertifikat auf den Client importieren muss, also wie man ein P12-Zertifikat mit dem Root-Zertifikat ausstellt. Windows-Computer können Portecle verwenden, um Folgendes zu übertragen:
Windows konvertiert P12-Zertifikate
2. Verwenden Sie ein digitales Zertifikat eines Drittanbieter-Servers Für CA-Zertifikate von Drittanbietern müssen wir lediglich Materialien einreichen, um ein Server-Root-Zertifikat zu kaufen; der spezifische Prozess ist wie folgt: 1. Zuerst müssen Sie der Drittanbieterorganisation die Server-IP-Adresse angeben (Hinweis: Die an das Serverzertifikat gebundene IP-Adresse kann nur zur Verifizierung des Servers verwendet werden).
2. Hier bitten wir die Drittanbieterorganisation, uns ein Zertifikat im .pfx-Format zur Verfügung zu stellen. 3. Wir erhalten das pfx-Format-Zertifikat und konvertieren es in das JKS-Format-Zertifikat (mittels Portecle-Konvertierung), wie in der untenstehenden Abbildung gezeigt:
Zertifikatsumwandlung
4. Nachdem wir das JKS-Formatzertifikat erhalten haben, verwenden wir den Server, um Tomcat zu konfigurieren, finden die Tomcat/conf/sever.xml-Datei, öffnen sie in Textform, finden das Label von Port 8443 und ändern sie zu:
Konfigurieren Sie den Server
Hinweis: keystoreFile: der Pfad, auf dem die JKS-Datei gespeichert wird, und keystorePass: das Passwort bei der Erstellung des Zertifikats 5. Nach Abschluss der obigen Operation wird die Serverzertifikatskonfiguration gestartet, der Tomecat-Server gestartet und im Browser eingegebenhttps://115.28.233.131:8443, was wie folgt dargestellt wird, zeigt Erfolg an (der Effekt ist derselbe wie bei 12306):
Die Verifizierung ist erfolgreich
Hinweis: Wenn Sie Zahlungs-Gateway-Zertifikate nutzen möchten, authentifizieren sich Serverclients gegenseitig, benötigen Sie auch ein Identitätsauthentifizierungs-Gateway, dieses Gateway erfordert den Kauf von Geräten, es gibt G2000 und G3000, G2000 ist ein 1U-Gerät, G3000 ist ein 3U-Gerät, der Preis kann zwischen 20 und 300.000 Yuan liegen. Nach dem Kauf des Gateways stellt uns die Drittanbieterorganisation Zertifikate zur Verfügung, darunter Server- und Mobilzertifikate (die mehrere mobile Endgeräte sein können), und diese Zertifikate müssen durch ihre Gateways passieren, und die uns gegebenen Zertifikate können JKS-Format-Zertifikate sein.
| 
Veröffentlicht am 22.03.2017 13:24:35
Vermieter