|
저는 이전 글 "HTTPS는 암호화 및 인증의 변명"에서 HTTPS의 암호화 과정과 원칙에 대해 썼습니다.
1. HTTPS 자가 서명 CA 인증서 및 서버 구성 1.1 단일 인증 - 서버 구성
서버 인증서 생성
자가 비자 문서
A. 키스토어 비밀번호 입력: 여기서는 6자보다 큰 문자열을 입력해야 합니다. B. "이름과 성이 무엇인가요?" 이는 TOMCAT이 배포된 호스트의 도메인 이름 또는 IP여야 하며(앞으로 브라우저에 입력할 접근 주소), 그렇지 않으면 사용자 인증서가 도메인과 일치하지 않는다는 경고 창이 뜨게 됩니다. C. 귀하의 조직 단위 이름이 무엇인가요? "당신 조직의 이름이 무엇입니까?" "도시나 지역 이름이 뭐죠? "당신의 주나 지방 이름이 무엇인가요?" "이 부대의 두 글자 국가 코드가 뭐죠?" "필요에 따라 작성할 수도 있고, 시스템에 '맞나요?'라고 물어볼 수도 있습니다. 요구 사항이 충족되면 키보드로 "y"를 입력하고, 그렇지 않으면 "n"을 입력해 위 정보를 다시 입력하세요. D. 입력된 키 비밀번호가 더 중요하며, 이는 tomcat 구성 파일에서 사용되며, 키스토어와 동일한 비밀번호를 입력하는 것이 권장됩니다. 다른 비밀번호도 설정할 수 있습니다. 위 입력을 완료한 후 직접 입력하면 두 번째 단계에서 정의한 위치에 생성된 파일을 찾을 수 있습니다. 다음으로, server.jks를 사용해 인증서를 발급하세요 C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
루트 인증서 발행 인증서
Tomcat 구성 tomcat/conf/sever.xml 파일을 찾아서 텍스트로 열어보세요. 포트 8443 라벨을 찾아서 다음과 같이 수정하세요: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> 참고: keystoreFile: jks 파일이 저장되는 경로, keystorePass: 인증서를 생성할 때 사용하는 비밀번호 테스트: Tomcat 서버를 시작하고 브라우저에 https://localhost:8443/ 을 입력하면 다음 이미지가 성공하도록 안내합니다.
구성은 성공적이다
1.2 양방향 인증 - 서버 구성 클라이언트 인증서 생성
인증서 생성 방식인 client.jks, client.cer에 따라 파일 쌍을 생성합니다. client_for_server.jks 파일에 client.cer을 추가하세요 서버 설정: 포트 8443의 라벨을 다음과 같이 변경하세요: 참고: truststoreFile: 신뢰 인증서의 파일 경로, truststorePass: 신뢰 인증서의 비밀 테스트: Tomcat 서버를 시작하고 브라우저에 https://localhost:8443/ 을 입력하면 다음 이미지가 성공하도록 안내합니다.
구성은 성공적이다
1.3 수출 P12 증명서 이전 글에서 서버 인증 클라이언트가 클라이언트에 P12 인증서를 가져와야 한다는 것을 배웠는데, 루트 인증서와 함께 P12 인증서를 발급하는 방법에 대해 설명했습니다. 윈도우 컴퓨터는 Portecle을 통해 전송할 수 있습니다:
Windows가 P12 인증서를 변환합니다
2. 제3자 서버 디지털 인증서 사용 서드파티 CA 인증서의 경우, 서버 루트 인증서를 구매하기 위한 자료를 제출하기만 하면 되며, 구체적인 절차는 다음과 같습니다: 1. 먼저, 서버 IP 주소를 제3자 조직에 제공해야 합니다(참고: 서버 인증서에 묶인 IP 주소는 서버 검증에만 사용할 수 있습니다).
2. 여기서 제3자 기관에 .pfx 형식의 인증서를 요청합니다. 3. 아래 그림과 같이 pfx 형식 인증서를 받아 Portecle 변환을 사용해 jks 형식 인증서로 변환합니다:
인증서 변환
4. JKS 형식 인증서를 받은 후, 서버를 이용해 Tomcat을 구성하고, tomcat/conf/sever.xml 파일을 찾아 텍스트 형식으로 열고, 포트 8443의 라벨을 찾아 다음과 같이 수정합니다:
서버 구성
참고: keystoreFile: jks 파일이 저장되는 경로, keystorePass: 인증서를 생성할 때 사용하는 비밀번호 5. 위 작업을 완료한 후 서버 인증서 구성을 완료하고, Tomecat 서버를 실행한 후 브라우저에 입력합니다.https://115.28.233.131:8443다음과 같이 표시되며, 성공을 나타냅니다(효과는 12306과 동일합니다):
검증이 성공했습니다
참고: 결제 게이트웨이 인증서를 사용하려면 서버 클라이언트가 서로 인증하며, 신원 인증 게이트웨이도 필요합니다. 이 게이트웨이는 장비를 구매해야 합니다. G2000과 G3000이 있습니다. G2000은 1U 장치, G3000은 3U 장치이며, 가격은 20위안에서 300,000위안 정도일 수 있습니다. 게이트웨이를 구매한 제3자 조직은 서버 인증서와 모바일 인증서(여러 모바일 단말기 포함)를 포함한 인증서를 제공하며, 이 인증서들은 게이트웨이를 통과해야 하며, 제공되는 인증서는 JKS 형식의 인증서일 수 있습니다.
| 
게시됨 2017. 3. 22. 오후 1:24:35
집주인