|
O procesie szyfrowania i zasadach HTTPS pisałem w moim poprzednim artykule "HTTPS Excuse Encryption and Authentication".
1. Certyfikat HTTPS z własnym podpisem CA oraz konfiguracja serwera 1.1 Pojedyncze uwierzytelnianie - konfiguracja serwera
Wygeneruj certyfikat serwera
Dokument samoobsługowy
A. Wprowadź hasło do keystore: Tutaj musisz wpisać ciąg znaków większy niż 6 znaków. B. "Jakie jest twoje imię i nazwisko?" Jest to wymagane i musi być domeną lub adresem IP hosta, na którym TOMCAT jest wdrażany (czyli adres dostępu, który w przyszłości wpiszesz w przeglądarce), w przeciwnym razie przeglądarka wyświetli okno ostrzegawcze, że certyfikat użytkownika nie pasuje do domeny. C. Jak nazywa się Twoja jednostka organizacyjna? "Jak nazywa się wasza organizacja?" "Jak nazywa się twoje miasto lub region? "Jak nazywa się wasz stan lub prowincja?" "Jaki jest dwuliterowy kod kraju tej jednostki?" "Możesz uzupełnić w razie potrzeby lub nie, i zapytać w systemie "Czy to poprawne?" Jeśli wymagania są spełnione, użyj klawiatury, aby wpisać literę "y", w przeciwnym razie wpisz "n", aby ponownie uzupełnić powyższe informacje. D. Kluczowe jest hasło klucza, które zostanie użyte w pliku konfiguracyjnym tomcata, zaleca się wpisanie tego samego hasła co do keystore'a, a po wykonaniu powyższego wpisu można także ustawić inne hasła, aby bezpośrednio wejść, aby znaleźć wygenerowany plik na pozycji zdefiniowanej w drugim kroku. Następnie użyj server.jks do wydawania certyfikatów C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certyfikat wydania certyfikatu korzeniowego
Konfiguruj Tomcat Znajdź plik tomcat/conf/sever.xml i otwórz go jako tekst. Znajdź etykietę portu 8443 i zmodyfikuj ją na: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" schemat="https" secure="true" sslProtocol="TLS" /> Uwaga: keystoreFile: ścieżka, na której przechowywany jest plik jks, oraz keystorePass: hasło podczas generowania certyfikatu Test: Uruchom serwer Tomcata, wpisz https://localhost:8443/ w przeglądarce, a przeglądarka wyświetla następujący obraz, aby zakończyć się sukcesem.
Konfiguracja ta się sprawdziła
1.2 Uwierzytelnianie dwukierunkowe – konfiguracja serwera Generuj certyfikaty klientów
Wygeneruj parę takich plików zgodnie z metodą generowania certyfikatów, którą nazywamy: client.jks, client.cer. Dodaj client.cer do pliku client_for_server.jks Konfiguruj serwer: Zmień etykietę portu 8443 na: Uwaga: truststoreFile: ścieżka pliku certyfikatu trust, truststorePass: sekret certyfikatu trustu Test: Uruchom serwer Tomcata, wpisz https://localhost:8443/ w przeglądarce, a przeglądarka wyświetla następujący obraz, aby zakończyć się sukcesem.
Konfiguracja ta się sprawdziła
1.3 Certyfikat eksportowy P12 W poprzednim artykule dowiedzieliśmy się, że klient uwierzytelniający serwer musi zaimportować certyfikat P12 na kliencie, więc jak wydać certyfikat P12 z certyfikatem root. Komputery z systemem Windows mogą używać Portecle do transferu:
Windows konwertuje certyfikaty P12
2. Użyj certyfikatu cyfrowego serwera zewnętrznego W przypadku certyfikatów CA od stron trzecich wystarczy przesłać materiały do zakupu certyfikatu serwera, a konkretny proces wygląda następująco: 1. Po pierwsze, musisz podać adres IP serwera organizacji trzeciej (Uwaga: adres IP powiązany z certyfikatem serwera, certyfikat może być używany tylko do weryfikacji serwera).
2. Tutaj prosimy organizację zewnętrzną o wydanie nam certyfikatu w formacie .pfx. 3. Otrzymujemy certyfikat formatu pfx i konwertujemy go na certyfikat formatu jks (stosując konwersję Portecle), jak pokazano na poniższym rysunku:
Konwersja certyfikatu
4. Po uzyskaniu certyfikatu formatu JKS używamy serwera do skonfigurowania Tomcata, odnalezienie pliku tomcat/conf/sever.xml, otwarcie go w formie tekstowej, znalezienie etykiety portu 8443 i modyfikację na:
Konfiguruj serwer
Uwaga: keystoreFile: ścieżka, na której przechowywany jest plik jks, oraz keystorePass: hasło podczas generowania certyfikatu 5. Po zakończeniu powyższej operacji następuje konfiguracja certyfikatu serwera, uruchamiamy serwer Tomecat i wprowadzamy go do przeglądarkihttps://115.28.233.131:8443, który jest wyświetlany następująco, wskazuje na sukces (efekt jest taki sam jak w przypadku 12306):
Weryfikacja przebiega pomyślnie
Uwaga: Jeśli chcesz korzystać z certyfikatów bram płatniczych, klienci serwerów uwierzytelniają się nawzajem, potrzebujesz także bramy uwierzytelniającej tożsamości, która wymaga zakupu sprzętu, są G2000 i G3000, G2000 to urządzenie 1U, G3000 to urządzenie 3U, cena może wynosić od 20 do 300 000 juanów. Po zakupie bramki organizacja trzecia dostarcza nam certyfikaty, w tym certyfikaty serwerów i certyfikatów mobilnych (które mogą być wieloma terminalami mobilnymi), a te certyfikaty muszą przejść przez swoje bramki, a certyfikaty otrzymane mogą być w formacie JKS.
| 
Opublikowano 22.03.2017 13:24:35
Ziemianin