|
Kirjoitin HTTPS:n salausprosessista ja periaatteista aiemmassa artikkelissani "HTTPS Excuse Encryption and Authentication".
1. HTTPS-itseallekirjoitettu CA-sertifikaatti ja palvelinkonfiguraatio 1.1 Yksittäinen todennus – Palvelimen konfiguraatio
Luo palvelinsertifikaatti
Itseviisumiasiakirja
A. Syötä avainvaraston salasana: Tässä sinun tulee syöttää yli 6 merkin pitkä merkkijono. B. "Mikä on etu- ja sukunimesi?" Tämä on pakollista, ja sen on oltava sen isäntäalueen verkkotunnus tai IP, jossa TOMCAT on käytössä (joka on pääsyosoite, jonka syötät selaimeen tulevaisuudessa), muuten selain avaa varoitusikkunan, että käyttäjäsertifikaatti ei vastaa verkkotunnusta. C. Mikä on organisaatioyksikkönne nimi? "Mikä on järjestönne nimi?" "Mikä on kaupunkisi tai alueesi nimi? "Mikä on osavaltiosi tai provinssi nimi?" "Mikä on tämän yksikön kaksikirjaiminen maakoodi?" "Voit täydentää tarpeen mukaan tai et, ja kysyä järjestelmästä "Onko se oikein?" Jos vaatimukset täyttyvät, käytä näppäimistöä kirjaimen "y" syöttämiseen, muuten kirjoita "n" täyttääksesi yllä olevat tiedot uudelleen. D. Syötetty avainsalasana on tärkeämpi, sitä käytetään tomcat-konfiguraatiotiedostossa, suositellaan syöttämään sama salasana kuin avainvarastossa, ja muita salasanoja voidaan myös asettaa, kun yllä oleva syöte on suoritettu, suoraan syötetään, jotta generoitu tiedosto löytyy toisessa vaiheessa määrittelemästäsi paikasta. Seuraavaksi käytä server.jks:ää varmenteiden myöntämiseen C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Juurisertifikaatin myöntämistodistus
Säädä Tomcat Etsi tomcat/conf/sever.xml-tiedosto ja avaa se tekstina. Etsi portin 8443 tunniste ja muokkaa sitä seuraavasti: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" portta="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Huomautus: keystoreFile: polku, johon jks-tiedosto tallennetaan, ja keystorePass: salasana varmenteen luomisessa Testi: Käynnistä Tomcat-palvelin, syötä https://localhost:8443/ selaimeen, ja selain pyytää seuraavaa kuvaa onnistumaan.
Konfiguraatio onnistuu
1.2 Kaksisuuntainen tunnistautuminen – palvelimen konfiguraatio Luo asiakassertifikaatit
Luo pari tällaisia tiedostoja sertifikaattien generointimenetelmän mukaan, jonka nimemme: client.jks, client.cer. Lisää client.cer client_for_server.jks-tiedostoon Määritä palvelin: Muuta portin 8443 tunniste muotoon: Huomautus: truststoreFile: luottovarmenteen tiedostopolku, truststorePass: luottamusvarmenteen salaisuus Testi: Käynnistä Tomcat-palvelin, syötä https://localhost:8443/ selaimeen, ja selain pyytää seuraavaa kuvaa onnistumaan.
Konfiguraatio onnistuu
1.3 Vienti P12-sertifikaatti Edellisessä artikkelissa opimme, että palvelimen todennusasiakas tarvitsee tuoda P12-sertifikaatti asiakkaalle, joten miten P12-sertifikaatti myönnetään juurivarmenteella. Windows-tietokoneet voivat käyttää Porteclea siirtämiseen:
Windows muuntaa P12-sertifikaatit
2. Käytä kolmannen osapuolen palvelimen digitaalista sertifikaattia Kolmannen osapuolen CA-sertifikaateissa meidän tarvitsee vain lähettää materiaaleja palvelimen juurisertifikaatin ostamista varten, ja tarkka prosessi on seuraava: 1. Ensiksi sinun tulee antaa palvelimen IP-osoite kolmannen osapuolen organisaatiolle (Huom: IP-osoite, joka on sidottu palvelinsertifikaattiin, varmennetta voidaan käyttää vain palvelimen vahvistamiseen).
2. Tässä pyydämme kolmannen osapuolen organisaatiota toimittamaan meille sertifikaatin .pfx-muodossa. 3. Saamme pfx-formaatin sertifikaatin ja muunnamme sen jks-muotosertifikaatiksi (käyttäen Portecle-muunnoksella) kuten alla olevassa kuvassa on esitetty:
Sertifikaattien muuntaminen
4. Kun saatiin JKS-muotovarmenne, käytämme palvelinta Tomcatin konfigurointiin, etsimme tomcat/conf/sever.xml-tiedoston, avaamme sen tekstimuodossa, etsimme portin 8443 tunnisteen ja muokkaamme sen muotoon:
Määritä palvelin
Huomautus: keystoreFile: polku, johon jks-tiedosto tallennetaan, ja keystorePass: salasana varmenteen luomisessa 5. Kun yllä oleva operaatio on suoritettu, on palvelimen varmenteen konfiguraatio, käynnistä Tomecat-palvelin ja syötä se selaimeenhttps://115.28.233.131:8443, joka esitetään seuraavasti, osoittaa onnistumista (vaikutus on sama kuin vuonna 12306):
Varmennus onnistuu
Huomautus: Jos haluat tehdä maksureititysvarmenteita, palvelinasiakkaat todentavat toisensa, tarvitset myös henkilöllisyyden tunnistautumisen yhdyskäytävän, tämän yhdyskäytävän täytyy hankkia laitteita, on G2000 ja G3000, G2000 on 1U-laite, G3000 on 3U-laite, hinta voi olla 20–300 000 juania. Yhdyskäytävän ostamisen jälkeen kolmannen osapuolen organisaatio toimittaa meille varmenteita, mukaan lukien palvelinsertifikaatit ja mobiilivarmenteet (jotka voivat olla useita mobiiliterminaaleja), ja nämä varmenteet täytyy kulkea heidän porttiensa kautta, ja meille annetut varmenteet voivat olla JKS-muotoisia sertifikaatteja.
| 
Julkaistu 22.3.2017 13.24.35
Vuokraisäntä