|
Az HTTPS titkosítási folyamatáról és elveiről írtam korábbi cikkemben, "HTTPS Excuse Encryption and Authentication".
1. HTTPS önaláírt CA tanúsítvány és szerver konfiguráció 1.1 Egységes hitelesítés – Szerver konfiguráció
Szervertanúsítvány generálása
Önvízum-dokumentum
A. Adja meg a kulcstár jelszót: Itt egy 6 karakternél nagyobb láncsort kell beírni. B. "Mi a kereszt- és vezetékneved?" Ez kötelező, és annak a hosztoknak a domainneve vagy IP-címének kell lennie, ahol a TOMCAT telepítve van (ami a jövőben a böngészőbe beírt hozzáférési cím), különben a böngésző figyelmeztető ablakot jelent meg, hogy a felhasználói tanúsítvány nem egyezik meg a domainnel. C. Mi a szervezeti egység neve? "Mi a szervezeted neve?" "Mi a városod vagy régiód neve? "Mi az államod vagy tartományod neve?" "Mi ennek az egységnek a kétbetűs országkódja?" "Szükség esetén vagy sem, betöltheted a szöveget, és megkérdezheted a rendszerben: "Helyes?" Ha a követelmények teljesülnek, használja a billentyűzetet az "y" betű beírásához, különben írja be az "n" betűt a fenti információk kitöltéséhez. D. A kulcsjelszó fontosabb, az a tomcat konfigurációs fájlban lesz használatban, ajánlott ugyanazt a jelszót adni, mint a kulcstárolóban, és más jelszavakat is beállíthatunk, a fenti bemenet befejezése után közvetlenül belépve, hogy megtaláld a generált fájlt a második lépésben megadott pozícióban. Ezután a server.jks segítségével tanúsítványok kiadása C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Gyökértanúsítvány kibocsátási tanúsítvány
Konfiguráld Tomcat Keresd meg a tomcat/conf/sever.xml fájlt, és nyisd meg szövegként. Keresd meg a 8443-as port címkéjét, és módosítsd a következőkre: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Megjegyzés: keystoreFile: az út, ahol a jks fájl tárolja, és keystorePass: a jelszó a tanúsítvány generálásakor Teszt: Indítsd el a Tomcat szervert, írd be a https://localhost:8443/ a böngészőben, és a böngésző a következő képet mutatja a sikerre.
A konfiguráció sikeres
1.2 Kétirányú hitelesítés – szerver konfiguráció Ügyféltanúsítványok generálása
Generáljunk egy ilyen fájlpárt a tanúsítványok generálásának módszere szerint, amelyet client.jks, client.cer néven nevezünk. Add client.cer a client_for_server.jks fájlba Konfiguráld a szervert: Változtasd meg a 8443-as port címkéjét a következőkre: Megjegyzés: truststoreFile: a bizalmi tanúsítvány fájlútja, truststorePass: a bizalmi tanúsítvány titka Teszt: Indítsd el a Tomcat szervert, írd be a https://localhost:8443/ a böngészőben, és a böngésző a következő képet mutatja a sikerre.
A konfiguráció sikeres
1.3 P12 exportálási tanúsítvány Az előző cikkben megtudtuk, hogy a szerver hitelesítési kliensnek importálnia kell egy P12 tanúsítványt az ügyfélre, tehát hogyan lehet P12 tanúsítványt kiadni a gyökér tanúsítvánnyal? A Windows számítógépek a Portecle segítségével továbbíthatók:
Windows átkonvertálja a P12 tanúsítványokat
2. Használjon harmadik féltől származó szerver digitális tanúsítványt Harmadik féltől származó CA tanúsítványok esetén csak anyagokat kell benyújtanunk egy szerver root tanúsítvány megvásárlásához, a konkrét folyamat a következő: 1. Először meg kell adnod a szerver IP-címét a harmadik fél szervezetének (Megjegyzés: a szerver tanúsítványhoz kötött IP-cím csak a szerver ellenőrzésére használható).
2. Itt arra kérjük a harmadik féltől származó szervezetet, hogy adjanak nekünk egy .pfx formátumú tanúsítványt. 3. Megkapjuk a pfx formátumú tanúsítványt, és átalakítjuk jks formátumú tanúsítványsá (Portecle átalakítással), ahogy az alábbi ábrán látható:
Tanúsítványváltás
4. Miután megkaptuk a JKS formátum tanúsítványt, a szervert használjuk a Tomcat konfigurálásához, megtaláljuk a tomcat/conf/sever.xml fájlt, megnyitjuk szöveges formában, megkereszük a 8443-as port címkéjét, és módosítsuk azt:
A szerver konfigurálása
Megjegyzés: keystoreFile: az út, ahol a jks fájl tárolja, és keystorePass: a jelszó a tanúsítvány generálásakor 5. A fenti művelet befejezése után a szerver tanúsítvány konfigurációja indítja el a Tomecat szervert, és írd be a böngészőbehttps://115.28.233.131:8443, amely az alábbiakban jelenik meg, a sikert jelzi (a hatás megegyezik 12306-évé):
Az ellenőrzés sikeres
Megjegyzés: Ha fizetési átjáró tanúsítványokat szeretnél létrehozni, a szerverkliensek hitelesítik egymást, szükséged van identitentáshitelentó átjáróra is, ennek a gatewaynek felszerelést kell vásárolnia, vannak G2000 és G3000, a G2000 egy 1U eszköz, a G3000 egy 3U eszköz, az ár akár 20-300 000 jüan között is lehet. A átjáró megvásárlása után a harmadik fél szervezete tanúsítványokat ad, beleértve a szerver tanúsítványokat és mobil tanúsítványokat (amelyek több mobil terminált is lehetnek), és ezeknek a tanúsítványoknak át kell haladniuk a átjárókon keresztül, és a kapott tanúsítványok lehetnek JKS formátumú tanúsítványok.
| 
Közzétéve 2017. 03. 22. 13:24:35
Háziúr