|
Jeg skrev om krypteringsprosessen og prinsippene for HTTPS i min forrige artikkel, «HTTPS Excuse Encryption and Authentication».
1. HTTPS selvsignert CA-sertifikat og serverkonfigurasjon 1.1 Enkelt autentisering - Serverkonfigurasjon
Generer et serversertifikat
Selvvisumdokument
A. Skriv inn nøkkelbutikkens passord: Her må du skrive inn en streng større enn 6 tegn. B. "Hva er ditt for- og etternavn?" Dette er påkrevd og må være domenenavnet eller IP-adressen til verten hvor TOMCAT er distribuert (som er tilgangsadressen du vil skrive inn i nettleseren i fremtiden), ellers vil nettleseren vise et varselvindu om at brukersertifikatet ikke samsvarer med domenet. C. Hva heter din organisasjonsenhet? "Hva heter organisasjonen deres?" "Hva heter byen eller regionen din? "Hva heter staten eller provinsen din?" "Hva er den to-bokstavers landkoden til denne enheten?" "Du kan fylle inn etter behov eller ikke, og spørre i systemet "Er det korrekt?" Hvis kravene er oppfylt, bruk tastaturet til å skrive inn bokstaven "y", ellers skriv inn "n" for å fylle inn informasjonen ovenfor igjen. D. Nøkkelpassordet som er oppgitt er viktigere, det vil bli brukt i Tomcat-konfigurasjonsfilen, det anbefales å skrive inn samme passord som i keystore, og andre passord kan også settes, etter å ha fullført ovenstående input, gå direkte inn for å finne den genererte filen i posisjonen du definerte i andre steg. Bruk deretter server.jks for å utstede sertifikater C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Utstedelsessertifikat for rotsertifikat
Konfigurer Tomcat Finn tomcat/conf/sever.xml-filen og åpne den som tekst. Finn etiketten for port 8443 og endre den til: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtokoll="TLS" /> Merk: keystoreFile: stien hvor jks-filen lagres, og keystorePass: passordet når sertifikatet genereres Test: Start Tomcat-serveren, skriv inn https://localhost:8443/ i nettleseren, og nettleseren ber om at følgende bilde skal lykkes.
Konfigurasjonen er vellykket
1.2 Toveis autentisering - serverkonfigurasjon Generer klientsertifikater
Generer et par slike filer i henhold til metoden for å generere sertifikater, som vi kaller: client.jks, client.cer. Legg til client.cer i client_for_server.jks-filen Konfigurer serveren: Endre etiketten på port 8443 til: Merk: truststoreFile: filstien til tillitssertifikatet, truststorePass: hemmeligheten til tillitssertifikatet Test: Start Tomcat-serveren, skriv inn https://localhost:8443/ i nettleseren, og nettleseren ber om at følgende bilde skal lykkes.
Konfigurasjonen er vellykket
1.3 Eksport P12-sertifikat I forrige artikkel lærte vi at serverautentiseringsklienten må importere et P12-sertifikat på klienten, altså hvordan man utsteder et P12-sertifikat med rotsertifikatet. Windows-maskiner kan bruke Portecle til å overføre:
Windows konverterer P12-sertifikater
2. Bruk et digitalt sertifikat fra tredjeparts server For tredjeparts CA-sertifikater trenger vi bare å sende inn materiale for å kjøpe et serverrotsertifikat, den spesifikke prosessen er som følger: 1. Først må du oppgi serverens IP-adresse til tredjepartsorganisasjonen (Merk: IP-adressen som er bundet til serversertifikatet, sertifikatet kan kun brukes til å verifisere serveren).
2. Her ber vi tredjepartsorganisasjonen om å gi oss et sertifikat i .pfx-format. 3. Vi får pfx-formatsertifikatet og konverterer det til jks-formatsertifikatet (ved bruk av Portecle-konvertering) som vist i figuren under:
Sertifikatkonvertering
4. Etter å ha fått JKS-formatsertifikatet, bruker vi serveren til å konfigurere Tomcat, finne tomcat/conf/sever.xml-filen, åpne den i tekstform, finne etiketten til port 8443, og endre den til:
Konfigurer serveren
Merk: keystoreFile: stien hvor jks-filen lagres, og keystorePass: passordet når sertifikatet genereres 5. Etter å ha fullført denne operasjonen er serversertifikatkonfigurasjonen, start Tomecat-serveren og legg den inn i nettleserenhttps://115.28.233.131:8443, som vises som følger, indikerer suksess (effekten er den samme som i 12306):
Verifiseringen er vellykket
Merk: Hvis du vil bruke betalingsgateway-sertifikater, autentiserer serverklienter hverandre, trenger du også en identitetsautentiseringsgateway, denne gatewayen krever kjøp av utstyr, det finnes G2000 og G3000, G2000 er en 1U-enhet, G3000 er en 3U-enhet, prisen kan være mellom 20 og 300 000 yuan. Etter kjøp av gatewayen gir tredjepartsorganisasjonen oss sertifikater, inkludert serversertifikater og mobile sertifikater (som kan være flere mobile terminaler), og disse sertifikatene må passere gjennom sine gateways, og sertifikatene vi får kan være JKS-formatsertifikater.
| 
Publisert på 22.03.2017 13:24:35
Vert