|
Escrevi sobre o processo de criptografia e os princípios do HTTPS no meu artigo anterior, "HTTPS Excuse Encryption and Authentication".
1. Certificado CA autoassinado HTTPS e configuração do servidor 1.1 Autenticação Única - Configuração do Servidor
Gerar um certificado de servidor
Documento de auto-visto
A. Digite a senha do keystore (keystore do teclado): Aqui você precisa inserir uma string maior que 6 caracteres. B. "Qual é seu primeiro e sobrenome?" Isso é obrigatório e deve ser o nome de domínio ou IP do host onde o TOMCAT está implantado (que é o endereço de acesso que você inserirá no navegador no futuro), caso contrário, o navegador aparecerá uma janela de aviso de que o certificado de usuário não corresponde ao domínio. C. Qual é o nome da sua unidade organizacional? "Qual é o nome da sua organização?" "Qual é o nome da sua cidade ou região? "Qual é o nome do seu estado ou província?" "Qual é o código de país de duas letras desta unidade?" "Você pode preencher conforme necessário ou não, e perguntar no sistema "Está correto?" Se os requisitos forem atendidos, use o teclado para inserir a letra "y"; caso contrário, insira "n" para preencher novamente as informações acima. D. A senha da chave inserida é mais importante, ela será usada no arquivo de configuração do tomcat, recomenda-se inserir a mesma senha do keystore, e outras senhas também podem ser definidas; após completar a entrada acima, entre diretamente para encontrar o arquivo gerado na posição definida na segunda etapa. Em seguida, use o server.jks para emitir certificados C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certificado de emissão de certificado raiz
Configurar Tomcat Localize o arquivo tomcat/conf/sever.xml e abra como texto. Encontre o rótulo da porta 8443 e modifique-o para: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" porta="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Nota: keystoreFile: o caminho onde o arquivo jks está armazenado, e keystorePass: a senha ao gerar o certificado Teste: Inicie o servidor Tomcat, insira a https://localhost:8443/ no navegador, e o navegador solicita a seguinte imagem para ser bem-sucedida.
A configuração é bem-sucedida
1.2 Autenticação bidirecional - configuração do servidor Gerar certificados de cliente
Gerar um par desses arquivos de acordo com o método de geração de certificados, que nomeamos de: client.jks, client.cer. Adicionar client.cer ao arquivo client_for_server.jks Configure o servidor: Mude o rótulo da porta 8443 para: Nota: truststoreFile: o caminho do arquivo do certificado de confiança, truststorePass: o segredo do certificado de confiança Teste: Inicie o servidor Tomcat, insira a https://localhost:8443/ no navegador, e o navegador solicita a seguinte imagem para ser bem-sucedida.
A configuração é bem-sucedida
1.3 Certificado P12 de exportação No artigo anterior, aprendemos que o cliente de autenticação do servidor precisa importar um certificado P12 no cliente, ou seja, como emitir um certificado P12 com o certificado raiz. Computadores com Windows podem usar o Portecle para transferir:
O Windows converte certificados P12
2. Utilizar um certificado digital de servidor de terceiros Para certificados de CA de terceiros, tudo o que precisamos fazer é enviar materiais para comprar um certificado raiz de servidor, o processo específico é o seguinte: 1. Primeiro, é necessário fornecer o endereço IP do servidor para a organização terceirizada (Nota: o endereço IP vinculado ao certificado do servidor, o certificado só pode ser usado para verificar o servidor).
2. Aqui pedimos à organização terceirizada que nos forneça um certificado em formato .pfx. 3. Obtemos o certificado de formato pfx e o convertimos para o certificado de formato jks (usando conversão de Portecle), conforme mostrado na figura abaixo:
Conversão de certificado
4. Após obter o certificado de formato JKS, usamos o servidor para configurar o Tomcat, encontramos o arquivo tomcat/conf/sever.xml, abrimos em forma de texto, encontramos o rótulo da porta 8443 e o modificamos para:
Configurar o servidor
Nota: keystoreFile: o caminho onde o arquivo jks está armazenado, e keystorePass: a senha ao gerar o certificado 5. Após concluir a operação acima é a configuração do certificado do servidor, inicie o servidor Tomecat e o insira no navegadorhttps://115.28.233.131:8443, que é exibido da seguinte forma, indica sucesso (o efeito é o mesmo de 12306):
A verificação é bem-sucedida
Nota: Se você quiser fazer certificados de gateway de pagamento, clientes de servidor autenticam uns aos outros, também precisa de um gateway de autenticação de identidade, esse gateway precisa comprar equipamentos, existem G2000 e G3000, G2000 é um dispositivo 1U, G3000 é um dispositivo 3U, o preço pode variar de 20 a 300.000 yuans. Após a compra do gateway, a organização terceirizada nos fornece certificados, incluindo certificados de servidor e certificados móveis (que podem ser múltiplos terminais móveis), e esses certificados devem passar por seus gateways, e os certificados entregues podem ser certificados no formato JKS.
| 
Publicado em 22/03/2017 13:24:35
Senhorio