|
Apie šifravimo procesą ir HTTPS principus rašiau ankstesniame straipsnyje "HTTPS pateisinimas šifravimas ir autentifikavimas".
1. HTTPS savarankiškai pasirašytas CA sertifikatas ir serverio konfigūracija 1.1 Vienas autentifikavimas – serverio konfigūracija
Generuoti serverio sertifikatą
Savarankiškos vizos dokumentas
A. Įveskite raktų saugyklos slaptažodį: Čia reikia įvesti didesnę nei 6 simbolių eilutę. B. "Koks tavo vardas ir pavardė?" Tai būtina ir turi būti pagrindinio kompiuterio, kuriame įdiegta TOMCAT, domeno vardas arba IP (tai yra prieigos adresas, kurį ateityje įvesite naršyklėje), kitaip naršyklėje pasirodys įspėjamasis langas, kad vartotojo sertifikatas neatitinka domeno. C. Kaip vadinasi jūsų organizacinis padalinys? "Kaip vadinasi jūsų organizacija?" "Kaip vadinasi jūsų miestas ar regionas? "Kaip vadinasi jūsų valstija ar provincija?" "Koks yra šio vieneto dviejų raidžių šalies kodas?" "Galite užpildyti pagal poreikį ar ne, ir paklausti sistemoje "Ar tai teisinga?" Jei reikalavimai įvykdyti, klaviatūra įveskite raidę "y", kitu atveju įveskite "n", kad vėl užpildytumėte aukščiau pateiktą informaciją. D. Įvestas rakto slaptažodis yra svarbesnis, jis bus naudojamas "Tomcat" konfigūracijos faile, rekomenduojama įvesti tą patį slaptažodį kaip ir raktų saugykloje, taip pat galima nustatyti kitus slaptažodžius, atlikus aukščiau pateiktą įvestį, tiesiogiai įveskite, kad surastumėte sugeneruotą failą antrame žingsnyje nurodytoje padėtyje. Tada naudokite server.jks sertifikatams išduoti C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Šakninio sertifikato išdavimo sertifikatas
Konfigūruoti Tomcat Raskite tomcat/conf/sever.xml failą ir atidarykite jį kaip tekstą. Raskite 8443 prievado etiketę ir pakeiskite ją į: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Pastaba: keystoreFile: kelias, kuriame saugomas jks failas, ir keystorePass: slaptažodis generuojant sertifikatą Testas: Paleiskite "Tomcat" serverį, naršyklėje įveskite https://localhost:8443/ ir naršyklė paragins šį vaizdą sėkmingai pateikti.
Konfigūracija sėkminga
1.2 Dvikryptis autentifikavimas - serverio konfigūracija Generuoti kliento sertifikatus
Sugeneruokite porą tokių failų pagal sertifikatų generavimo metodą, kurį mes vadiname: client.jks, client.cer. Pridėkite client.cer prie client_for_server.jks failo Konfigūruokite serverį: pakeiskite 8443 prievado etiketę į: Pastaba: truststoreFile: patikimumo sertifikato failo kelias, truststorePass: patikimumo sertifikato paslaptis Testas: Paleiskite "Tomcat" serverį, naršyklėje įveskite https://localhost:8443/ ir naršyklė paragins šį vaizdą sėkmingai pateikti.
Konfigūracija sėkminga
1.3 Eksporto P12 sertifikatas Ankstesniame straipsnyje sužinojome, kad serverio autentifikavimo klientas turi importuoti P12 sertifikatą į klientą, taigi, kaip išduoti P12 sertifikatą su šakniniu sertifikatu. "Windows" kompiuteriai gali naudoti "Portecle" perkelti:
"Windows" konvertuoja P12 sertifikatus
2. Naudokite trečiosios šalies serverio skaitmeninį sertifikatą Trečiųjų šalių CA sertifikatams tereikia pateikti medžiagą, kad galėtume įsigyti serverio šakninį sertifikatą, konkretus procesas yra toks: 1. Pirmiausia turite pateikti serverio IP adresą trečiosios šalies organizacijai (Pastaba: IP adresas, susietas su serverio sertifikatu, sertifikatas gali būti naudojamas tik serveriui patikrinti).
2. Čia prašome trečiosios šalies organizacijos pateikti mums sertifikatą .pfx formatu. 3. Mes gauname pfx formato sertifikatą ir konvertuojame jį į jks formato sertifikatą (naudodami Portecle konvertavimą), kaip parodyta paveikslėlyje žemiau:
Sertifikato konvertavimas
4. Gavę JKS formato sertifikatą, mes naudojame serverį, kad sukonfigūruotume Tomcat, surastume tomcat/conf/sever.xml failą, atidarytume jį teksto forma, surastume prievado 8443 etiketę ir modifikuotume jį į:
Konfigūruokite serverį
Pastaba: keystoreFile: kelias, kuriame saugomas jks failas, ir keystorePass: slaptažodis generuojant sertifikatą 5. Atlikę aukščiau nurodytą operaciją yra serverio sertifikato konfigūracija, paleiskite Tomecat serverį ir įveskite jį į naršyklęhttps://115.28.233.131:8443, kuris rodomas taip, rodo sėkmę (efektas yra toks pat kaip ir 12306):
Patvirtinimas sėkmingas
Pastaba: Jei norite atlikti mokėjimo šliuzo sertifikatus, serverio klientai autentifikuoja vienas kitą, jums taip pat reikia tapatybės autentifikavimo šliuzo, šiam šliuzui reikia įsigyti įrangą, yra G2000 ir G3000, G2000 yra 1U įrenginys, G3000 yra 3U įrenginys, kaina gali būti nuo 20 iki 300 000 juanių. Įsigijusi šliuzą, trečiosios šalies organizacija pateikia mums sertifikatus, įskaitant serverio sertifikatus ir mobiliuosius sertifikatus (kurie gali būti keli mobilieji terminalai), ir šie sertifikatai turi praeiti per jų šliuzus, o mums suteikti sertifikatai gali būti JKS formato sertifikatai.
| 
Paskelbta 2017-03-22 13:24:35
Savininkas