|
J’ai écrit sur le processus de chiffrement et les principes de HTTPS dans mon article précédent, « HTTPS Excuse Encryption and Authentication ».
1. Certificat CA auto-signé HTTPS et configuration du serveur 1.1 Authentification unique - Configuration du serveur
Générer un certificat serveur
Document de visa autonome
R. Saisissez le mot de passe du magasin de clés : ici, vous devez entrer une chaîne supérieure à 6 caractères. B. « Quel est votre prénom et votre nom de famille ? » C’est obligatoire et cela doit correspondre au nom de domaine ou à l’IP de l’hôte où TOMCAT est déployé (qui correspond à l’adresse d’accès que vous saisirez dans le navigateur à l’avenir), sinon le navigateur affichera une fenêtre d’avertissement indiquant que le certificat utilisateur ne correspond pas au domaine. C. Quel est le nom de votre unité organisationnelle ? « Quel est le nom de votre organisation ? » « Quel est le nom de votre ville ou région ? « Quel est le nom de votre État ou province ? » « Quel est le code pays de deux lettres de cette unité ? » « Vous pouvez remplir si vous en avez besoin ou non, et demander dans le système « Est-ce correct ? » Si les conditions sont remplies, utilisez le clavier pour entrer la lettre « y », sinon tapez « n » pour remplir à nouveau les informations ci-dessus. D. Le mot de passe de la clé saisi est plus important, il sera utilisé dans le fichier de configuration Tomcat, il est recommandé d’entrer le même mot de passe que le magasin de clés, et d’autres mots de passe peuvent également être définis, après avoir terminé la saisie ci-dessus, saisissez directement pour trouver le fichier généré à la position définie à la deuxième étape. Ensuite, utilisez server.jks pour émettre des certificats C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certificat d’émission de certificat racine
Configurez Tomcat Localise le fichier tomcat/conf/sever.xml et ouvre-le en texte. Trouvez l’étiquette du port 8443 et modifiez-la pour : disableUploadTimeout="true » enableLookups="true » keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75 » maxThreads="200 » minSpareThreads="5 » port="8443 » protocol="org.apache.coyote.http11.Http11NioProtocol » scheme="https » secure="true » sslProtocol="TLS » /> Note : keystoreFile : le chemin où le fichier jks est stocké, et keystorePass : le mot de passe lors de la génération du certificat Test : Lance le serveur Tomcat, saisi la https://localhost:8443/ dans le navigateur, et le navigateur invite l’image suivante pour réussir.
La configuration est réussie
1.2 Authentification bidirectionnelle - configuration du serveur Générer des certificats clients
Générez une paire de ces fichiers selon la méthode de génération des certificats, que nous nommons : client.jks, client.cer. Ajouter client.cer au fichier client_for_server.jks Configurez le serveur : Changez l’étiquette du port 8443 en : Note : truststoreFile : le chemin du fichier du certificat de fiducie, truststorePass : le secret du certificat de confiance Test : Lance le serveur Tomcat, saisi la https://localhost:8443/ dans le navigateur, et le navigateur invite l’image suivante pour réussir.
La configuration est réussie
1.3 Certificat P12 d’exportation Dans l’article précédent, nous avons appris que le client d’authentification serveur doit importer un certificat P12 sur le client, donc comment émettre un certificat P12 avec le certificat racine. Les ordinateurs Windows peuvent utiliser Portecle pour transférer :
Windows convertit les certificats P12
2. Utiliser un certificat numérique serveur tiers Pour les certificats d’AC tiers, il suffit de soumettre des documents pour acheter un certificat racine serveur, le processus spécifique est le suivant : 1. Premièrement, vous devez fournir l’adresse IP du serveur à l’organisation tierce (Note : l’adresse IP liée au certificat serveur, le certificat ne peut être utilisé que pour vérifier le serveur).
2. Nous demandons ici à l’organisation tierce de nous fournir un certificat au format .pfx. 3. Nous obtenons le certificat de format pfx et le convertissons en certificat de format jks (en utilisant la conversion Portecle) comme montré dans la figure ci-dessous :
Conversion des certificats
4. Après avoir obtenu le certificat de format JKS, nous utilisons le serveur pour configurer Tomcat, trouvons le fichier tomcat/conf/sever.xml, l’ouvrons sous forme de texte, trouvons l’étiquette du port 8443, et le modifions pour :
Configurez le serveur
Note : keystoreFile : le chemin où le fichier jks est stocké, et keystorePass : le mot de passe lors de la génération du certificat 5. Après avoir terminé l’opération ci-dessus, la configuration du certificat serveur, démarrer le serveur Tomecat et l’entrer dans le navigateurhttps://115.28.233.131:8443, qui est affiché comme suit, indique le succès (l’effet est le même que celui de 12306) :
La vérification est réussie
Note : Si vous voulez faire des certificats de passerelle de paiement, les clients serveurs s’authentifient mutuellement, vous avez aussi besoin d’une passerelle d’authentification d’identité, cette passerelle doit acheter du matériel, il y a des G2000 et G3000, G2000 est un appareil 1U, G3000 est un appareil 3U, le prix peut être de 20 à 300 000 yuans. Après l’achat de la passerelle, l’organisation tierce nous fournit des certificats, y compris des certificats serveur et mobile (qui peuvent être plusieurs terminaux mobiles), et ces certificats doivent passer par leurs passerelles, et les certificats qui nous sont remis peuvent être des certificats au format JKS.
| 
Publié sur 22/03/2017 13:24:35
Propriétaire