|
Kirjutasin HTTPS-i krüpteerimisprotsessist ja põhimõtetest oma eelmises artiklis "HTTPS Excuse Encryption and Authentication".
1. HTTPS iseallkirjastatud CA sertifikaat ja serveri konfiguratsioon 1.1 Üksik autentimine – serveri konfiguratsioon
Genereeri serveri sertifikaat
Eneseviisa dokument
A. Sisesta võtmehoidla parool: Siin pead sisestama stringi, mis on suurem kui 6 tähemärki. B. "Mis on sinu ees- ja perekonnanimi?" See on vajalik ja peab olema hosti domeeninimi või IP, kuhu TOMCAT paigaldatakse (see on juurdepääsuaadress, mille tulevikus brauserisse sisestate), vastasel juhul avaneb brauser hoiatusakna, et kasutaja sertifikaat ei vasta domeenile. C. Mis on teie organisatsiooniüksuse nimi? "Mis on teie organisatsiooni nimi?" "Mis on teie linna või piirkonna nimi? "Mis on teie osariigi või provintsi nimi?" "Mis on selle üksuse kahetäheline riigikood?" "Sa võid vajadusel täita ja küsida süsteemis "Kas see on õige?" Kui nõuded on täidetud, kasuta klaviatuuri tähe "y" sisestamiseks, vastasel juhul sisesta "n", et ülaltoodud info uuesti täita. D. Sisestatud võtme parool on olulisem, seda kasutatakse Tomcati konfiguratsioonifailis, soovitatav on sisestada sama parool nagu võtmehoidja, ning teisi paroole saab seadistada, pärast ülaltoodud sisendi täitmist sisesta otse sisse, et leida genereeritud fail teises etapis määratud asendis. Seejärel kasuta server.jks sertifikaatide väljastamiseks C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Juursertifikaadi väljastamise sertifikaat
Seadista Tomcat Leia tomcat/conf/sever.xml fail ja ava see tekstina. Leia pordi 8443 silt ja muuda see järgmiselt: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" skeem="https" secure="true" sslProtocol="TLS" /> Märkus: keystoreFile: tee, kuhu jks-fail salvestatakse, ja keystorePass: parool sertifikaadi genereerimisel Test: Käivita Tomcati server, sisesta https://localhost:8443/ brauserisse ja brauser näitab järgmist pilti, et see õnnestuks.
Konfiguratsioon õnnestus
1.2 Kahepoolne autentimine - serveri konfiguratsioon Kliendisertifikaatide genereerimine
Genereeri paar sellist faili vastavalt sertifikaatide genereerimise meetodile, mida nimetame: client.jks, client.cer. Lisa client.cer client_for_server.jks faili Seadista server: Muuda pordi 8443 silt järgmiselt: Märkus: truststoreFile: usaldussertifikaadi failitee, truststorePass: usaldussertifikaadi saladus Test: Käivita Tomcati server, sisesta https://localhost:8443/ brauserisse ja brauser näitab järgmist pilti, et see õnnestuks.
Konfiguratsioon õnnestus
1.3 P12 ekspordisertifikaat Eelnevas artiklis saime teada, et serveri autentimisklient peab importima P12 sertifikaadi kliendile, nii et kuidas väljastada P12 sertifikaati juursertifikaadiga. Windowsi arvutid saavad Portecle'i abil edastada:
Windows konverteerib P12 sertifikaadid
2. Kasuta kolmanda osapoole serveri digitaalset sertifikaati Kolmanda osapoole CA sertifikaatide puhul tuleb lihtsalt esitada materjale serveri juursertifikaadi ostmiseks, konkreetne protsess on järgmine: 1. Esiteks peate andma serveri IP-aadressi kolmandale osapoolele (märkus: IP-aadress, mis on seotud serveri sertifikaadiga, sertifikaati saab kasutada ainult serveri kinnitamiseks).
2. Siin palume kolmanda osapoole organisatsioonil anda meile sertifikaat .pfx formaadis. 3. Saame pfx-formaadi sertifikaadi ja teisendame selle jks formaadi sertifikaadiks (kasutades Portecle'i teisendust), nagu alloleval joonisel näidatud:
Sertifikaatide konverteerimine
4. Pärast JKS formaadi sertifikaadi saamist kasutame serverit Tomcati seadistamiseks, leiame tomcat/conf/sever.xml faili, avame selle tekstivormis, leiame pordi 8443 sildi ja muudame selle järgmiselt:
Seadista server
Märkus: keystoreFile: tee, kuhu jks-fail salvestatakse, ja keystorePass: parool sertifikaadi genereerimisel 5. Pärast ülaltoodud toimingu lõpetamist on serveri sertifikaadi konfiguratsioon, käivita Tomecat server ja sisesta see brauserissehttps://115.28.233.131:8443, mis kuvatakse järgmiselt, näitab edu (efekt on sama mis 12306. aastal):
Verifitseerimine on edukas
Märkus: Kui soovid teha makselüüsi sertifikaate, autentivad serverikliendid üksteist, vajad ka identiteediautentimise lüüsi, see lüüs peab ostma seadmeid, on olemas G2000 ja G3000, G2000 on 1U seade, G3000 on 3U seade, hind võib olla 20 kuni 300 000 jüaani. Pärast lüüsi ostmist annab kolmanda osapoole organisatsioon meile sertifikaadid, sealhulgas serveri sertifikaadid ja mobiilisertifikaadid (mis võivad olla mitmed mobiilsed terminalid), ning need sertifikaadid peavad läbima nende lüüside ning meile antud sertifikaadid võivad olla JKS-formaadis sertifikaadid.
| 
Postitatud 22.03.2017 13:24:35
Üürileandja