|
Ho scritto del processo di crittografia e dei principi di HTTPS nel mio articolo precedente, "HTTPS Excuse Encryption and Authentication".
1. Certificato CA autofirmato HTTPS e configurazione del server 1.1 Autenticazione Singola - Configurazione del Server
Generare un certificato server
Documento di auto-visto
A. Inserisci la password del keystore: qui devi inserire una stringa più grande di 6 caratteri. B. "Qual è il tuo nome e cognome?" Questo è richiesto e deve essere il nome di dominio o l'IP dell'host in cui TOMCAT è distribuito (che è l'indirizzo di accesso che inserirai nel browser in futuro), altrimenti il browser apparirà una finestra di avviso che indica che il certificato utente non corrisponde al dominio. C. Qual è il nome della vostra unità organizzativa? "Qual è il nome della vostra organizzazione?" "Qual è il nome della tua città o regione? "Qual è il nome del tuo stato o provincia?" "Qual è il codice paese di due lettere di questa unità?" "Puoi compilare se serve o no, e chiedere nel sistema "È corretto?" Se i requisiti sono soddisfatti, usa la tastiera per inserire la lettera "y", altrimenti inserisci "n" per compilare nuovamente le informazioni sopra. D. La password della chiave inserita è più importante, sarà usata nel file di configurazione tomcat, si consiglia di inserire la stessa password del keystore, e si possono impostare anche altre password; dopo aver completato l'input sopra, inserisci direttamente per trovare il file generato nella posizione definita nel secondo passaggio. Successivamente, usa server.jks per emettere i certificati C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certificato di emissione del certificato radice
Configura Tomcat Trova il file tomcat/conf/sever.xml e aprilo come testo. Trova l'etichetta della porta 8443 e modificala in: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" porta="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Nota: keystoreFile: il percorso in cui è memorizzato il file jks, e keystorePass: la password durante la generazione del certificato Test: Avvia il server Tomcat, inserisci la https://localhost:8443/ nel browser e il browser richiama la seguente immagine per avere successo.
La configurazione è riuscita
1.2 Autenticazione bidirezionale - configurazione del server Generare certificati client
Genera una coppia di tali file secondo il metodo di generazione dei certificati, che chiamiamo: client.jks, client.cer. Aggiungi client.cer al file client_for_server.jks Configura il server: Cambia l'etichetta della porta 8443 in: Nota: truststoreFile: il percorso del file del certificato di fiducia, truststorePass: il segreto del certificato di fiducia Test: Avvia il server Tomcat, inserisci la https://localhost:8443/ nel browser e il browser richiama la seguente immagine per avere successo.
La configurazione è riuscita
1.3 Certificato Export P12 Nell'articolo precedente, abbiamo appreso che il client di autenticazione del server deve importare un certificato P12 sul client, quindi come emettere un certificato P12 con il certificato root. I computer Windows possono utilizzare Portecle per trasferire:
Windows converte i certificati P12
2. Utilizzare un certificato digitale server di terze parti Per i certificati CA di terze parti, tutto ciò che dobbiamo fare è inviare i materiali per acquistare un certificato root del server, il processo specifico è il seguente: 1. Innanzitutto, devi fornire l'indirizzo IP del server all'organizzazione terza (Nota: l'indirizzo IP legato al certificato del server, il certificato può essere usato solo per verificare il server).
2. Qui chiediamo all'organizzazione terza di fornirci un certificato in formato .pfx. 3. Otteniamo il certificato di formato pfx e lo convertiamo nel certificato di formato jks (usando la conversione di Portecle) come mostrato nella figura sottostante:
Conversione dei certificati
4. Dopo aver ottenuto il certificato di formato JKS, usiamo il server per configurare Tomcat, trovare il file tomcat/conf/sever.xml, aprirlo in forma di testo, trovare l'etichetta della porta 8443 e modificarlo in:
Configura il server
Nota: keystoreFile: il percorso in cui è memorizzato il file jks, e keystorePass: la password durante la generazione del certificato 5. Dopo aver completato l'operazione sopra, si verifica la configurazione del certificato del server, avviare il server Tomecat e inserirlo nel browserhttps://115.28.233.131:8443, che viene mostrato come segue, indica il successo (l'effetto è lo stesso di quello del 12306):
La verifica è efficace
Nota: Se vuoi fare certificati gateway di pagamento, i client server si autenticano a vicenda, serve anche un gateway di autenticazione dell'identità, questo gateway deve acquistare attrezzature, ci sono G2000 e G3000, G2000 è un dispositivo 1U, G3000 è un dispositivo 3U, il prezzo può essere da 20 a 300.000 yuan. Dopo l'acquisto del gateway, l'organizzazione terza ci fornisce certificati, inclusi certificati server e certificati mobili (che possono essere più terminali mobili), e questi certificati devono passare attraverso i loro gateway, mentre i certificati che ci vengono assegnati possono essere certificati in formato JKS.
| 
Pubblicato su 22/03/2017 13:24:35
Padrone di casa