|
Escribí sobre el proceso de cifrado y los principios de HTTPS en mi artículo anterior, "HTTPS Excuse Encryption and Authentication".
1. Certificado de CA autofirmado HTTPS y configuración del servidor 1.1 Autenticación única - Configuración del servidor
Generar un certificado de servidor
Documento de auto-visado
R. Introduce la contraseña de la tienda de claves: Aquí debes introducir una cadena mayor que 6 caracteres. B. "¿Cuál es tu nombre y apellido?" Esto es necesario y debe ser el nombre de dominio o IP del host donde se despliega TOMCAT (que es la dirección de acceso que introducirás en el navegador en el futuro), de lo contrario el navegador mostrará una ventana de advertencia de que el certificado de usuario no coincide con el dominio. C. ¿Cómo se llama vuestra unidad organizativa? "¿Cómo se llama vuestra organización?" "¿Cómo se llama tu ciudad o región? "¿Cuál es el nombre de tu estado o provincia?" "¿Cuál es el código de país de dos letras de esta unidad?" "Puedes completar según necesites o no, y preguntar en el sistema "¿Es correcto?" Si se cumplen los requisitos, utiliza el teclado para introducir la letra "y"; de lo contrario, introduce "n" para rellenar la información anterior. D. La contraseña de la clave introducida es más importante, se usará en el archivo de configuración tomcat, se recomienda introducir la misma contraseña que el almacén de claves, y también se pueden establecer otras contraseñas; tras completar la entrada anterior, introduce directamente para encontrar el archivo generado en la posición que definiste en el segundo paso. A continuación, utiliza server.jks para emitir certificados C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certificado de emisión de certificados raíz
Configurar Tomcat Localiza el archivo tomcat/conf/sever.xml y ábrelo como texto. Busca la etiqueta del puerto 8443 y modifícala a: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" puerto="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Nota: keystoreFile: la ruta donde se almacena el archivo jks, y keystorePass: la contraseña al generar el certificado Prueba: Inicia el servidor Tomcat, introduce la https://localhost:8443/ en el navegador y el navegador solicita la siguiente imagen para que tenga éxito.
La configuración es exitosa
1.2 Autenticación bidireccional - configuración del servidor Generar certificados de cliente
Genera un par de estos archivos según el método de generación de certificados, que llamamos: client.jks, client.cer. Añadir client.cer al archivo client_for_server.jks Configurar el servidor: Cambiar la etiqueta del puerto 8443 a: Nota: truststoreFile: la ruta del archivo del certificado de fideicomiso, truststorePass: el secreto del certificado de confianza Prueba: Inicia el servidor Tomcat, introduce la https://localhost:8443/ en el navegador y el navegador solicita la siguiente imagen para que tenga éxito.
La configuración es exitosa
1.3 Certificado de exportación P12 En el artículo anterior, aprendimos que el cliente de autenticación del servidor necesita importar un certificado P12 en el cliente, así que cómo emitir un certificado P12 con el certificado raíz. Los ordenadores Windows pueden usar Portecle para transferir:
Windows convierte certificados P12
2. Utilizar un certificado digital de servidor de terceros Para los certificados de CA de terceros, solo tenemos que enviar materiales para comprar un certificado raíz de servidor, el proceso específico es el siguiente: 1. Primero, debes proporcionar la dirección IP del servidor a la organización de terceros (Nota: la dirección IP vinculada al certificado del servidor, el certificado solo puede usarse para verificar el servidor).
2. Aquí pedimos a la organización externa que nos proporcione un certificado en formato .pfx. 3. Obtenemos el certificado de formato pfx y lo convertimos al certificado de formato jks (usando conversión de Portecle), como se muestra en la figura siguiente:
Conversión de certificados
4. Tras obtener el certificado de formato JKS, usamos el servidor para configurar Tomcat, encontrar el archivo tomcat/conf/sever.xml, abrirlo en forma de texto, localizar la etiqueta del puerto 8443 y modificarlo para:
Configurar el servidor
Nota: keystoreFile: la ruta donde se almacena el archivo jks, y keystorePass: la contraseña al generar el certificado 5. Tras completar la operación anterior, se configura el certificado del servidor, se inicia el servidor Tomecat e introdúcelo en el navegadorhttps://115.28.233.131:8443, que se muestra de la siguiente manera, indica éxito (el efecto es el mismo que el de 12306):
La verificación es exitosa
Nota: Si quieres hacer certificados de pasarela de pago, los clientes de servidor se autentican entre sí, también necesitas una pasarela de autenticación de identidad, esta pasarela necesita comprar equipo, hay G2000 y G3000, G2000 es un dispositivo 1U, G3000 es un dispositivo 3U, cuyo precio puede ser de 20 a 300.000 yuanes. Tras comprar la pasarela, la organización externa nos proporciona certificados, incluidos certificados de servidor y certificados móviles (que pueden ser múltiples terminales móviles), y estos certificados deben pasar por sus gateways, y los certificados que nos entregan pueden ser certificados en formato JKS.
| 
Publicado en 22/3/2017 13:24:35
Propietario