|
Es rakstīju par šifrēšanas procesu un HTTPS principiem savā iepriekšējā rakstā "HTTPS attaisnojuma šifrēšana un autentifikācija".
1. HTTPS pašparakstīts CA sertifikāts un servera konfigurācija 1.1 Viena autentifikācija - servera konfigurācija
Servera sertifikāta ģenerēšana
Pašvīzas dokuments
A. Ievadiet atslēgu krātuves paroli: Šeit jums jāievada virkne, kas lielāka par 6 rakstzīmēm. B. "Kāds ir tavs vārds un uzvārds?" Tas ir nepieciešams, un tam jābūt tā resursdatora domēna nosaukumam vai IP, kurā ir izvietots TOMCAT (kas ir piekļuves adrese, kuru nākotnē ievadīsiet pārlūkprogrammā), pretējā gadījumā pārlūkprogrammā parādīsies brīdinājuma logs, ka lietotāja sertifikāts neatbilst domēnam. C. Kāds ir jūsu organizācijas vienības nosaukums? "Kāds ir jūsu organizācijas nosaukums?" "Kā sauc jūsu pilsētu vai reģionu? "Kā sauc jūsu štatu vai provinci?" "Kāds ir šīs vienības divu burtu valsts kods?" "Jūs varat aizpildīt pēc vajadzības vai nē, un jautāt sistēmā "Vai tas ir pareizi?" Ja prasības ir izpildītas, izmantojiet tastatūru, lai ievadītu burtu "y", pretējā gadījumā ievadiet "n", lai vēlreiz aizpildītu iepriekš minēto informāciju. D. Ievadītā atslēgas parole ir svarīgāka, tā tiks izmantota tomcat konfigurācijas failā, ieteicams ievadīt to pašu paroli kā atslēgu krātuve, un pēc iepriekš minētās ievades pabeigšanas var iestatīt arī citas paroles, lai atrastu ģenerēto failu otrajā solī definētajā pozīcijā. Pēc tam izmantojiet server.jks, lai izsniegtu sertifikātus C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Saknes sertifikāta izsniegšanas sertifikāts
Konfigurēt Tomcat Atrodiet tomcat/conf/sever.xml failu un atveriet to kā tekstu. Atrodiet pieslēgvietas 8443 etiķeti un modificējiet to, lai: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Piezīmes: keystoreFile: ceļš, kurā tiek glabāts jks fails, un keystorePass: parole, ģenerējot sertifikātu Tests: Startējiet Tomcat serveri, ievadiet https://localhost:8443/ pārlūkprogrammā, un pārlūkprogramma piedāvā šādu attēlu, lai tas būtu veiksmīgs.
Konfigurācija ir veiksmīga
1.2 Divvirzienu autentifikācija - servera konfigurācija Ģenerēt klienta sertifikātus
Ģenerējiet šādu failu pāri saskaņā ar sertifikātu ģenerēšanas metodi, ko mēs saucam: client.jks, client.cer. client.cer pievienošana failam client_for_server.jks Servera konfigurēšana: mainiet porta 8443 etiķeti uz: Piezīme: truststoreFile: uzticamības sertifikāta faila ceļš, truststorePass: uzticamības sertifikāta noslēpums Tests: Startējiet Tomcat serveri, ievadiet https://localhost:8443/ pārlūkprogrammā, un pārlūkprogramma piedāvā šādu attēlu, lai tas būtu veiksmīgs.
Konfigurācija ir veiksmīga
1.3 Eksporta P12 sertifikāts Iepriekšējā rakstā mēs uzzinājām, ka servera autentifikācijas klientam klientā ir jāimportē P12 sertifikāts, tāpēc kā izsniegt P12 sertifikātu ar saknes sertifikātu. Windows datori var izmantot Portecle, lai pārsūtītu:
Windows konvertē P12 sertifikātus
2. Trešās puses servera ciparsertifikāta izmantošana Trešo pušu CA sertifikātiem viss, kas mums jādara, ir jāiesniedz materiāli, lai iegādātos servera saknes sertifikātu, konkrētais process ir šāds: 1. Pirmkārt, jums ir jānorāda servera IP adrese trešās puses organizācijai (Piezīme: IP adrese, kas saistīta ar servera sertifikātu, sertifikātu var izmantot tikai servera pārbaudei).
2. Šeit mēs lūdzam trešās puses organizāciju sniegt mums sertifikātu .pfx formātā. 3. Mēs iegūstam pfx formāta sertifikātu un pārvēršam to jks formāta sertifikātā (izmantojot Portecle konvertēšanu), kā parādīts zemāk redzamajā attēlā:
Sertifikāta konvertēšana
4. Pēc JKS formāta sertifikāta iegūšanas mēs izmantojam serveri, lai konfigurētu Tomcat, atrastu tomcat/conf/sever.xml failu, atvērtu to teksta formā, atrastu porta 8443 etiķeti un modificētu to, uz:
Servera konfigurēšana
Piezīmes: keystoreFile: ceļš, kurā tiek glabāts jks fails, un keystorePass: parole, ģenerējot sertifikātu 5. Pēc iepriekš minētās darbības pabeigšanas ir servera sertifikāta konfigurācija, startējiet Tomecat serveri un ievadiet to pārlūkprogrammāhttps://115.28.233.131:8443, kas tiek parādīts šādi, norāda uz panākumiem (efekts ir tāds pats kā 12306):
Verifikācija ir veiksmīga
Piezīme: Ja vēlaties veikt maksājumu vārtejas sertifikātus, servera klienti autentificē viens otru, jums ir nepieciešama arī identitātes autentifikācijas vārteja, šai vārtejai ir jāiegādājas aprīkojums, ir G2000 un G3000, G2000 ir 1U ierīce, G3000 ir 3U ierīce, cena var būt no 20 līdz 300 000 juaņas. Pēc vārtejas iegādes trešās puses organizācija sniedz mums sertifikātus, ieskaitot servera sertifikātus un mobilos sertifikātus (kas var būt vairāki mobilie termināļi), un šiem sertifikātiem ir jāiziet caur to vārtejām, un mums piešķirtie sertifikāti var būt JKS formāta sertifikāti.
| 
Publicēts 22.03.2017 13:24:35
Saimnieks