|
Ik schreef over het encryptieproces en de principes van HTTPS in mijn vorige artikel, "HTTPS Excuse Encryption and Authentication".
1. HTTPS zelfondertekend CA-certificaat en serverconfiguratie 1.1 Enkele authenticatie - Serverconfiguratie
Genereer een servercertificaat
Zelfvisumdocument
A. Voer het sleutelwinkelwachtwoord in: Hier moet je een string invoeren die groter is dan 6 tekens. B. "Wat is je voor- en achternaam?" Dit is vereist en moet de domeinnaam of het IP-adres zijn van de host waar TOMCAT wordt geïmplementeerd (dat is het toegangsadres dat je in de toekomst in de browser invoert), anders verschijnt er een waarschuwingsvenster dat het gebruikerscertificaat niet overeenkomt met het domein. C. Wat is de naam van uw organisatie-eenheid? "Wat is de naam van jullie organisatie?" "Hoe heet je stad of regio? "Wat is de naam van uw staat of provincie?" "Wat is de tweeletterige landcode van deze eenheid?" "Je kunt invullen wanneer nodig of niet, en in het systeem vragen: 'Klopt het?' Als aan de vereisten wordt voldaan, gebruik dan het toetsenbord om de letter "y" in te voeren, anders voer je "n" in om bovenstaande informatie opnieuw in te vullen. D. Het ingevoerde sleutelwachtwoord is belangrijker, het wordt gebruikt in het Tomcat-configuratiebestand, het wordt aanbevolen hetzelfde wachtwoord in te voeren als in de keystore, en andere wachtwoorden kunnen ook worden ingesteld; na het voltooien van bovenstaande invoer direct invoer om het gegenereerde bestand te vinden op de positie die je in de tweede stap hebt gedefinieerd. Gebruik vervolgens server.jks om certificaten uit te geven C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certificaat voor uitgifte van een rootcertificaat
Configure Tomcat Zoek het bestand tomcat/conf/sever.xml en open het als tekst. Zoek het label voor poort 8443 en pas het aan naar: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Opmerking: keystoreFile: het pad waar het jks-bestand wordt opgeslagen, en keystorePass: het wachtwoord bij het genereren van het certificaat Test: Start de Tomcat-server, voer de https://localhost:8443/ in de browser in en de browser geeft de volgende afbeelding de opdracht om succesvol te zijn.
De configuratie is succesvol
1.2 Bidirectionele authenticatie - serverconfiguratie Genereer clientcertificaten
Genereer een paar van zulke bestanden volgens de methode van het genereren van certificaten, die wij client.jks noemen, client.cer. Voeg client.cer toe aan het client_for_server.jks-bestand Configureer de server: Verander het label van poort 8443 naar: Opmerking: truststoreFile: het bestandspad van het trustcertificaat, truststorePass: het geheim van het trustcertificaat Test: Start de Tomcat-server, voer de https://localhost:8443/ in de browser in en de browser geeft de volgende afbeelding de opdracht om succesvol te zijn.
De configuratie is succesvol
1.3 Export P12-certificaat In het vorige artikel leerden we dat de server authenticatieclient een P12-certificaat op de client moet importeren, dus hoe je een P12-certificaat met het rootcertificaat kunt uitgeven. Windows-computers kunnen Portecle gebruiken om het volgende over te zetten:
Windows zet P12-certificaten om
2. Gebruik een digitaal certificaat van een derde partij server Voor CA-certificaten van derden hoeven we alleen maar materialen in te dienen om een server root certificate aan te schaffen; het specifieke proces is als volgt: 1. Eerst moet je het server-IP-adres aan de derde partij geven (Let op: het IP-adres dat aan het servercertificaat is gekoppeld, het certificaat kan alleen worden gebruikt om de server te verifiëren).
2. Hier vragen we de derde partij om ons een certificaat in .pfx-formaat te verstrekken. 3. We krijgen het pfx-formaat certificaat en converteren dit naar het JKS-formaat certificaat (met Portecle conversie) zoals weergegeven in de onderstaande figuur:
Certificaatconversie
4. Na het verkrijgen van het JKS-formaatcertificaat gebruiken we de server om Tomcat te configureren, vinden we het tomcat/conf/sever.xml-bestand, openen het in tekstvorm, vinden het label van poort 8443 en passen het aan tot:
Configureer de server
Opmerking: keystoreFile: het pad waar het jks-bestand wordt opgeslagen, en keystorePass: het wachtwoord bij het genereren van het certificaat 5. Na het voltooien van bovenstaande bewerking is de servercertificaatconfiguratie, start de Tomecat-server en voer deze in de browser inhttps://115.28.233.131:8443, dat als volgt wordt weergegeven, duidt op succes (het effect is hetzelfde als dat van 12306):
Verificatie is succesvol
Opmerking: Als je betalingsgatewaycertificaten wilt gebruiken, authenticeren serverclients elkaar, je hebt ook een identiteitsauthenticatiegateway nodig, deze gateway moet apparatuur aanschaffen, er zijn G2000 en G3000, G2000 is een 1U-apparaat, G3000 is een 3U-apparaat, de prijs kan tussen 20 en 300.000 yuan liggen. Na aankoop van de gateway levert de derde partij ons certificaten, waaronder servercertificaten en mobiele certificaten (die meerdere mobiele terminals kunnen zijn), en deze certificaten moeten via hun gateways gaan, en de certificaten die ons krijgen kunnen JKS-formaat zijn.
| 
Geplaatst op 22-03-2017 13:24:35
Huisbaas