|
Saya menulis tentang proses enkripsi dan prinsip-prinsip HTTPS di artikel saya sebelumnya, "Enkripsi dan Otentikasi Alasan HTTPS".
1. Sertifikat CA dan konfigurasi server yang ditandatangani sendiri HTTPS 1.1 Otentikasi Tunggal - Konfigurasi Server
Membuat sertifikat server
Dokumen visa mandiri
A. Masukkan kata sandi keystore: Di sini Anda perlu memasukkan string yang lebih besar dari 6 karakter. B. "Siapa nama depan dan belakang Anda?" Ini diperlukan dan harus berupa nama domain atau IP host tempat TOMCAT disebarkan (yang merupakan alamat akses yang akan Anda masukkan di browser di masa mendatang), jika tidak, browser akan memunculkan jendela peringatan bahwa sertifikat pengguna tidak cocok dengan domain. C. Apa nama unit organisasi Anda? "Siapa nama organisasimu?" "Apa nama kota atau wilayah Anda? "Siapa nama negara bagian atau provinsamu?" "Apa kode negara dua huruf dari unit ini?" "Anda dapat mengisi sesuai kebutuhan atau tidak, dan bertanya di sistem "Apakah itu benar?" Jika persyaratan terpenuhi, gunakan keyboard untuk memasukkan huruf "y", jika tidak, masukkan "n" untuk mengisi kembali informasi di atas. D. Kata sandi kunci yang dimasukkan lebih penting, akan digunakan dalam file konfigurasi tomcat, disarankan untuk memasukkan kata sandi yang sama dengan penyimpanan kunci, dan kata sandi lain juga dapat diatur, setelah menyelesaikan input di atas, langsung masukkan untuk menemukan file yang dihasilkan di posisi yang Anda tentukan pada langkah kedua. Selanjutnya, gunakan server.jks untuk menerbitkan sertifikat C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Sertifikat penerbitan sertifikat akar
Konfigurasikan Tomcat Temukan file tomcat/conf/sever.xml dan buka sebagai teks. Temukan label untuk port 8443 dan modifikasi menjadi: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Catatan: keystoreFile: jalur tempat file jks disimpan, dan keystorePass: kata sandi saat membuat sertifikat Uji: Mulai server Tomcat, masukkan https://localhost:8443/ di browser, dan browser meminta gambar berikut untuk berhasil.
Konfigurasi berhasil
1.2 Otentikasi dua arah - konfigurasi server Menghasilkan sertifikat klien
Hasilkan sepasang file tersebut sesuai dengan metode pembuatan sertifikat, yang kami beri nama: client.jks, client.cer. Tambahkan client.cer ke file client_for_server.jks Mengonfigurasi server: Ubah label port 8443 menjadi: Catatan: truststoreFile: jalur file sertifikat kepercayaan, truststorePass: rahasia sertifikat kepercayaan Uji: Mulai server Tomcat, masukkan https://localhost:8443/ di browser, dan browser meminta gambar berikut untuk berhasil.
Konfigurasi berhasil
1.3 Ekspor sertifikat P12 Pada artikel sebelumnya, kita belajar bahwa klien otentikasi server perlu mengimpor sertifikat P12 pada klien, jadi bagaimana cara menerbitkan sertifikat P12 dengan sertifikat root. Komputer Windows dapat menggunakan Portecle untuk mentransfer:
Windows mengonversi sertifikat P12
2. Gunakan sertifikat digital server pihak ketiga Untuk sertifikat CA pihak ketiga, yang perlu kita lakukan hanyalah mengirimkan materi untuk membeli sertifikat root server, proses spesifiknya adalah sebagai berikut: 1. Pertama, Anda perlu memberikan alamat IP server ke organisasi pihak ketiga (Catatan: alamat IP yang terikat ke sertifikat server, sertifikat hanya dapat digunakan untuk memverifikasi server).
2. Di sini kami meminta organisasi pihak ketiga untuk memberi kami sertifikat dalam format .pfx. 3. Kami mendapatkan sertifikat format pfx dan mengonversinya ke sertifikat format jks (menggunakan konversi Portecle) seperti yang ditunjukkan pada gambar di bawah ini:
Konversi sertifikat
4. Setelah mendapatkan sertifikat format JKS, kami menggunakan server untuk mengonfigurasi Tomcat, menemukan file tomcat/conf/sever.xml, membukanya dalam bentuk teks, menemukan label port 8443, dan memodifikasinya menjadi:
Mengonfigurasi server
Catatan: keystoreFile: jalur tempat file jks disimpan, dan keystorePass: kata sandi saat membuat sertifikat 5. Setelah menyelesaikan operasi di atas adalah konfigurasi sertifikat server, mulai server Tomecat, dan masukkan di browserhttps://115.28.233.131:8443, yang ditampilkan sebagai berikut, menunjukkan keberhasilan (efeknya sama dengan 12306):
Verifikasi berhasil
Catatan: Jika Anda ingin melakukan sertifikat gateway pembayaran, klien server saling mengautentikasi, Anda juga memerlukan gateway otentikasi identitas, gateway ini perlu membeli peralatan, ada G2000 dan G3000, G2000 adalah perangkat 1U, G3000 adalah perangkat 3U, harganya mungkin 20 hingga 300.000 yuan. Setelah membeli gateway, organisasi pihak ketiga memberi kami sertifikat, termasuk sertifikat server dan sertifikat seluler (yang dapat berupa beberapa terminal seluler), dan sertifikat ini harus melewati gatewaynya, dan sertifikat yang diberikan kepada kami dapat berupa sertifikat format JKS.
| 
Diposting pada 22/03/2017 13.24.35
Tuan tanah