|
私は前回の記事「HTTPS Excuse Encryption and Authentication」で、HTTPSの暗号化プロセスと原則について書きました。
1. HTTPS自己署名CA証明書およびサーバー設定 1.1 単一認証 - サーバー構成
サーバー証明書の生成
自己ビザ書類
A. キーストアパスワードの入力:ここでは6文字を超える文字列を入力する必要があります。 B.「あなたの名前と名字は何ですか?」 これは必須で、TOMCATが展開されているホストのドメイン名またはIPでなければなりません(将来ブラウザに入力するアクセスアドレスです)。そうでなければ、ユーザー証明書がドメインと一致しないという警告ウィンドウが表示されます。 C. あなたの組織単位の名前は何ですか? 「あなたの組織の名前は何ですか?」 「あなたの都市や地域の名前は何ですか? 「あなたの州や州の名前は何ですか?」 「このユニットの二文字の国コードは何ですか?」 「必要に応じて記入してもいいし、そうでなくてもいいし、システムで『正しい?』と聞いてみていいの? 要件を満たしていれば、キーボードで「y」を入力し、それ以外は「n」を入力して再度上記の情報を入力してください。 D. 入力する鍵のパスワードの方が重要で、tomcatの設定ファイルで使用されます。キーストアと同じパスワードを入力することが推奨されます。また、上記の入力を完了した後、直接入力して生成されたファイルが第2段階で定義された位置に位置するまで設定できます。 次に、server.jksを使って証明書を発行します C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
ルート証明書発行証明書
Tomcatの設定 tomcat/conf/sever.xmlファイルを見つけてテキストとして開いてください。 ポート8443のラベルを見つけて、以下に修正してください: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> 注:keystoreFile:jksファイルが保存されるパス、keystorePass:証明書を生成する際のパスワード テスト:Tomcatサーバーを起動し、ブラウザで https://localhost:8443/ を入力すると、次の画像が成功するよう促されます。
この構成は成功しています
1.2 双方向認証 - サーバー構成 クライアント証明書の生成
証明書を生成する方法(client.jks, client.cer)に従って、そのようなファイルのペアを生成します。 client_for_server.jksファイルにclient.cerを追加します サーバーの設定:ポート8443のラベルを以下に変更します: 注:truststoreFile:信頼証明書のファイルパス、truststorePass:信頼証明書の秘密 テスト:Tomcatサーバーを起動し、ブラウザで https://localhost:8443/ を入力すると、次の画像が成功するよう促されます。
この構成は成功しています
1.3 輸出P12証明書 前回の記事では、サーバー認証クライアントがクライアントにP12証明書をインポートする必要があることを学びましたが、ルート証明書でP12証明書を発行する方法について説明しました。 WindowsコンピュータはPortecleを使って以下の転送が可能です:
WindowsはP12証明書を変換します
2. サードパーティサーバーのデジタル証明書を使用する サードパーティのCA証明書の場合、サーバールート証明書を購入するための資料を提出するだけで、具体的な手順は以下の通りです: 1. まず、サーバーのIPアドレスを第三者組織に提供する必要があります(注:サーバー証明書に紐づくIPアドレスは、証明書はサーバーの検証にのみ使用可能です)。
2. ここで、第三者組織に.pfx形式の証明書の提供をお願いします。 3. pfxフォーマット証明書を取得し、下図のようにPortecle変換を使ってjksフォーマット証明書に変換します:
証明書変換
4. JKSフォーマット証明書を取得した後、サーバーを使ってTomcatを設定し、tomcat/conf/sever.xmlファイルを見つけてテキスト形式で開き、ポート8443のラベルを見つけて以下に修正します。
サーバーの設定
注:keystoreFile:jksファイルが保存されるパス、keystorePass:証明書を生成する際のパスワード 5. 上記の操作を完了した後、サーバー証明書の設定を行い、Tomecatサーバーを起動し、ブラウザに入力しますhttps://115.28.233.131:8443以下のように表示され、成功を示します(効果は12306と同じです):
検証は成功しました
注意:決済ゲートウェイ証明書を作成したい場合は、サーバークライアント同士が認証し、ID認証ゲートウェイも必要です。このゲートウェイは機器を購入する必要があります。G2000とG3000があります。G2000は1Uデバイス、G3000は3Uデバイスで、価格は20元から30万元程度になることがあります。 ゲートウェイを購入した後、第三者組織からサーバー証明書やモバイル証明書(複数のモバイル端末を含む)などの証明書が提供され、これらの証明書は彼らのゲートウェイを通過しなければならず、提供される証明書はJKS形式の証明書である場合もあります。
| 
掲載地 2017/03/22 13:24:35
地主