|
Am scris despre procesul de criptare și principiile HTTPS în articolul meu anterior, "HTTPS scuză criptarea și autentificarea".
1. Certificat CA auto-semnat HTTPS și configurare a serverului 1.1 Autentificare unică - Configurarea serverului
Generează un certificat de server
Document de auto-viză
A. Introduceți parola keystore: Aici trebuie să introduceți un șir mai mare de 6 caractere. B. "Care este prenumele și numele tău de familie?" Aceasta este obligatorie și trebuie să fie numele de domeniu sau IP-ul gazdei unde este implementat TOMCAT (care este adresa de acces pe care o vei introduce în browser în viitor), altfel browserul va apărea o fereastră de avertizare că certificatul utilizatorului nu corespunde domeniului. C. Cum se numește unitatea dumneavoastră organizațională? "Cum se numește organizația dumneavoastră?" "Cum se numește orașul sau regiunea ta? "Care este numele statului sau provinciei tale?" "Care este codul de țară cu două litere al acestei unități?" "Poți completa după nevoie sau nu și întreba în sistem "Este corect?" Dacă cerințele sunt îndeplinite, folosiți tastatura pentru a introduce litera "y", altfel introduceți "n" pentru a completa din nou informațiile de mai sus. D. Parola tastei introdusă este mai importantă, va fi folosită în fișierul de configurare tomcat, se recomandă introducerea aceleiași parole ca și keystore-ul, iar alte parole pot fi setate, după finalizarea introducerii de mai sus, introduceți direct pentru a găsi fișierul generat în poziția definită în al doilea pas. Apoi, folosește server.jks pentru a emite certificate C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certificat de emitere a certificatului rădăcină
Configurează Tomcat Găsește fișierul tomcat/conf/sever.xml și deschide-l ca text. Găsește eticheta portului 8443 și modifică-o pentru: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Notă: keystoreFile: calea unde este stocat fișierul jks și keystorePass: parola la generarea certificatului Test: Pornește serverul Tomcat, introdu https://localhost:8443/ în browser, iar browserul afișează următoarea imagine pentru a fi reușită.
Configurația este reușită
1.2 Autentificare bidirecțională - configurarea serverului Generarea certificatelor de client
Generează o pereche de astfel de fișiere conform metodei de generare a certificatelor, pe care o numim: client.jks, client.cer. Adaugă client.cer fișierului client_for_server.jks Configurează serverul: Schimbă eticheta portului 8443 în: Notă: truststoreFile: calea fișierului certificatului de încredere, truststorePass: secretul certificatului de încredere Test: Pornește serverul Tomcat, introdu https://localhost:8443/ în browser, iar browserul afișează următoarea imagine pentru a fi reușită.
Configurația este reușită
1.3 Certificat de export P12 În articolul anterior, am aflat că clientul de autentificare al serverului trebuie să importe un certificat P12 pe client, deci cum să emiti un certificat P12 cu certificatul rădăcină. Calculatoarele Windows pot folosi Portecle pentru a transfera:
Windows convertește certificatele P12
2. Utilizarea unui certificat digital de server terț Pentru certificatele CA terțe, tot ce trebuie să facem este să trimitem materiale pentru achiziționarea unui certificat rădăcină de server, procesul specific fiind următorul: 1. În primul rând, trebuie să furnizați adresa IP a serverului organizației terțe (Notă: adresa IP legată de certificatul serverului, certificatul poate fi folosit doar pentru a verifica serverul).
2. Aici cerem organizației terțe să ne furnizeze un certificat în format .pfx. 3. Obținem certificatul de format pfx și îl convertim în certificatul de format jks (folosind conversia Portecle), așa cum se arată în figura de mai jos:
Conversia certificatului
4. După ce obținem certificatul de format JKS, folosim serverul pentru a configura Tomcat, găsim fișierul tomcat/conf/sever.xml, îl deschidem sub formă de text, găsim eticheta portului 8443 și îl modificăm la:
Configurează serverul
Notă: keystoreFile: calea unde este stocat fișierul jks și keystorePass: parola la generarea certificatului 5. După finalizarea operațiunii de mai sus, configurarea certificatului serverului, pornește serverul Tomecat și introduce-l în browserhttps://115.28.233.131:8443, care este afișat astfel, indică succesul (efectul este același ca cel din 12306):
Verificarea este reușită
Notă: Dacă vrei să faci certificate de gateway de plată, clienții server se autentifică între ei, ai nevoie și de un gateway de autentificare pentru identitate, acest gateway trebuie să cumpere echipamente, există G2000 și G3000, G2000 este un dispozitiv 1U, G3000 este un dispozitiv 3U, prețul poate fi între 20 și 300.000 yuani. După achiziționarea gateway-ului, organizația terță ne oferă certificate, inclusiv certificate server și certificate mobile (care pot fi mai multe terminale mobile), iar aceste certificate trebuie să treacă prin gateway-urile lor, iar certificatele primite pot fi certificate în format JKS.
| 
Postat pe 22.03.2017 13:24:35
Proprietarul