|
Έγραψα για τη διαδικασία κρυπτογράφησης και τις αρχές του HTTPS στο προηγούμενο άρθρο μου, "HTTPS Excuse Encryption and Authentication".
1. Αυτο-υπογεγραμμένο πιστοποιητικό CA HTTPS και διαμόρφωση διακομιστή 1.1 Ενιαίος έλεγχος ταυτότητας - Διαμόρφωση διακομιστή
Δημιουργία πιστοποιητικού διακομιστή
Έγγραφο αυτοθεώρησης
Α. Εισαγάγετε τον κωδικό πρόσβασης του χώρου αποθήκευσης κλειδιών: Εδώ πρέπει να εισαγάγετε μια συμβολοσειρά μεγαλύτερη από 6 χαρακτήρες. Β. «Ποιο είναι το όνομα και το επίθετό σου;» Αυτό απαιτείται και πρέπει να είναι το όνομα τομέα ή η IP του κεντρικού υπολογιστή όπου αναπτύσσεται το TOMCAT (που είναι η διεύθυνση πρόσβασης που θα εισάγετε στο πρόγραμμα περιήγησης στο μέλλον), διαφορετικά το πρόγραμμα περιήγησης θα εμφανίσει ένα παράθυρο προειδοποίησης ότι το πιστοποιητικό χρήστη δεν ταιριάζει με τον τομέα. Γ. Ποιο είναι το όνομα της οργανωτικής σας μονάδας; «Ποιο είναι το όνομα της οργάνωσής σας;» «Πώς λέγεται η πόλη ή η περιοχή σας; «Πώς λέγεται η πολιτεία ή η επαρχία σας;» "Ποιος είναι ο κωδικός χώρας δύο γραμμάτων αυτής της μονάδας;" «Μπορείτε να συμπληρώσετε ανάλογα με τις ανάγκες ή όχι και να ρωτήσετε στο σύστημα "Είναι σωστό;" Εάν πληρούνται οι απαιτήσεις, χρησιμοποιήστε το πληκτρολόγιο για να εισαγάγετε το γράμμα "y", διαφορετικά πληκτρολογήστε "n" για να συμπληρώσετε ξανά τις παραπάνω πληροφορίες. Δ. Ο κωδικός πρόσβασης κλειδιού που εισαγάγατε είναι πιο σημαντικός, θα χρησιμοποιηθεί στο αρχείο διαμόρφωσης tomcat, συνιστάται να εισαγάγετε τον ίδιο κωδικό πρόσβασης με τον χώρο αποθήκευσης κλειδιών και μπορούν επίσης να οριστούν άλλοι κωδικοί πρόσβασης, αφού ολοκληρώσετε την παραπάνω εισαγωγή, εισαγάγετε απευθείας για να βρείτε το αρχείο που δημιουργήθηκε στη θέση που ορίσατε στο δεύτερο βήμα. Στη συνέχεια, χρησιμοποιήστε το server.jks για να εκδώσετε πιστοποιητικά C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Πιστοποιητικό έκδοσης πιστοποιητικού ρίζας
Διαμόρφωση του Tomcat Εντοπίστε το αρχείο tomcat/conf/sever.xml και ανοίξτε το ως κείμενο. Βρείτε την ετικέτα για τη θύρα 8443 και τροποποιήστε την σε: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" θύρα="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Σημείωση: keystoreFile: η διαδρομή όπου αποθηκεύεται το αρχείο jks και keystorePass: ο κωδικός πρόσβασης κατά τη δημιουργία του πιστοποιητικού Δοκιμή: Ξεκινήστε τον διακομιστή Tomcat, εισαγάγετε το https://localhost:8443/ στο πρόγραμμα περιήγησης και το πρόγραμμα περιήγησης ζητά την ακόλουθη εικόνα για να είναι επιτυχής.
Η διαμόρφωση είναι επιτυχής
1.2 Αμφίδρομος έλεγχος ταυτότητας - διαμόρφωση διακομιστή Δημιουργία πιστοποιητικών προγράμματος-πελάτη
Δημιουργήστε ένα ζεύγος τέτοιων αρχείων σύμφωνα με τη μέθοδο δημιουργίας πιστοποιητικών, την οποία ονομάζουμε: client.jks, client.cer. Προσθήκη client.cer στο αρχείο client_for_server.jks Διαμόρφωση του διακομιστή: Αλλάξτε την ετικέτα της θύρας 8443 σε: Σημείωση: truststoreFile: η διαδρομή αρχείου του πιστοποιητικού αξιοπιστίας, truststorePass: ο μυστικός κωδικός του πιστοποιητικού αξιοπιστίας Δοκιμή: Ξεκινήστε τον διακομιστή Tomcat, εισαγάγετε το https://localhost:8443/ στο πρόγραμμα περιήγησης και το πρόγραμμα περιήγησης ζητά την ακόλουθη εικόνα για να είναι επιτυχής.
Η διαμόρφωση είναι επιτυχής
1.3 Εξαγωγή πιστοποιητικού P12 Στο προηγούμενο άρθρο, μάθαμε ότι ο πελάτης ελέγχου ταυτότητας διακομιστή πρέπει να εισαγάγει ένα πιστοποιητικό P12 στον πελάτη, επομένως πώς να εκδώσει ένα πιστοποιητικό P12 με το πιστοποιητικό ρίζας. Οι υπολογιστές με Windows μπορούν να χρησιμοποιήσουν το Portecle για να μεταφέρουν:
Τα Windows μετατρέπουν πιστοποιητικά P12
2. Χρησιμοποιήστε ένα ψηφιακό πιστοποιητικό διακομιστή τρίτου κατασκευαστή Για πιστοποιητικά CA τρίτων, το μόνο που χρειάζεται να κάνουμε είναι να υποβάλουμε υλικό για να αγοράσουμε ένα πιστοποιητικό ρίζας διακομιστή, η συγκεκριμένη διαδικασία είναι η εξής: 1. Αρχικά, πρέπει να δώσετε τη διεύθυνση IP του διακομιστή στον τρίτο οργανισμό (Σημείωση: η διεύθυνση IP που είναι συνδεδεμένη με το πιστοποιητικό διακομιστή, το πιστοποιητικό μπορεί να χρησιμοποιηθεί μόνο για την επαλήθευση του διακομιστή).
2. Εδώ ζητάμε από τον τρίτο οργανισμό να μας παράσχει ένα πιστοποιητικό σε μορφή .pfx. 3. Παίρνουμε το πιστοποιητικό μορφής pfx και το μετατρέπουμε σε πιστοποιητικό μορφής jks (χρησιμοποιώντας τη μετατροπή Portecle) όπως φαίνεται στο παρακάτω σχήμα:
Μετατροπή πιστοποιητικού
4. Αφού λάβουμε το πιστοποιητικό μορφής JKS, χρησιμοποιούμε τον διακομιστή για να διαμορφώσουμε το Tomcat, να βρούμε το αρχείο tomcat/conf/sever.xml, να το ανοίξουμε σε μορφή κειμένου, να βρούμε την ετικέτα της θύρας 8443 και να το τροποποιήσουμε σε:
Ρύθμιση παραμέτρων του διακομιστή
Σημείωση: keystoreFile: η διαδρομή όπου αποθηκεύεται το αρχείο jks και keystorePass: ο κωδικός πρόσβασης κατά τη δημιουργία του πιστοποιητικού 5. Αφού ολοκληρώσετε την παραπάνω λειτουργία είναι η διαμόρφωση του πιστοποιητικού διακομιστή, ξεκινήστε τον διακομιστή Tomecat και εισαγάγετε τον στο πρόγραμμα περιήγησηςhttps://115.28.233.131:8443, το οποίο εμφανίζεται ως εξής, υποδηλώνει επιτυχία (το αποτέλεσμα είναι το ίδιο με αυτό του 12306):
Η επαλήθευση είναι επιτυχής
Σημείωση: Εάν θέλετε να κάνετε πιστοποιητικά πύλης πληρωμής, οι πελάτες διακομιστή ελέγχουν την ταυτότητα μεταξύ τους, χρειάζεστε επίσης μια πύλη ελέγχου ταυτότητας, αυτή η πύλη πρέπει να αγοράσει εξοπλισμό, υπάρχουν G2000 και G3000, το G2000 είναι μια συσκευή 1U, το G3000 είναι μια συσκευή 3U, η τιμή μπορεί να είναι 20 έως 300,000 γιουάν. Μετά την αγορά της πύλης, ο τρίτος οργανισμός μάς παρέχει πιστοποιητικά, συμπεριλαμβανομένων πιστοποιητικών διακομιστή και πιστοποιητικών κινητής τηλεφωνίας (τα οποία μπορεί να είναι πολλά τερματικά κινητής τηλεφωνίας) και αυτά τα πιστοποιητικά πρέπει να περάσουν από τις πύλες τους και τα πιστοποιητικά που μας δίνονται μπορεί να είναι πιστοποιητικά μορφής JKS.
| 
Δημοσιεύτηκε στις 22/3/2017 1:24:35 μ.μ.
Σπιτονοικοκύρης