|
Я писал о процессе шифрования и принципах HTTPS в своей предыдущей статье «HTTPS Excuse Encryption and Authentication».
1. HTTPS самоподписанный сертификат CA и конфигурация сервера 1.1 Единая аутентификация — конфигурация сервера
Сгенерировать серверный сертификат
Документ о самостоятельной визе
A. Введите пароль от хранилища ключей: здесь нужно ввести строку больше 6 символов. Б. «Какое у тебя имя и фамилия?» Это обязательно и должно быть доменное имя или IP хоста, на котором развернут TOMCAT (это адрес доступа, который вы введёте в браузере в будущем), иначе браузер появится предупреждающее окно о том, что пользовательский сертификат не совпадает с доменом. C. Как называется ваше организационное подразделение? «Как называется ваша организация?» «Как называется ваш город или регион? «Как называется ваш штат или провинция?» «Какой двухбуквенный код страны этого подразделения?» "Вы можете заполнить по потребности или нет и спросить в системе: "Это правильно?" Если требования выполнены, используйте клавиатуру для ввода буквы «y», в противном случае введите «n» для повторного заполнения вышеуказанной информации. D. Введённый пароль ключа важнее, он будет использоваться в конфигурационном файле tomcat, рекомендуется ввести тот же пароль, что и в хранилище ключей, а также можно задать другие пароли, после выполнения вышеуказанного ввода напрямую вводить, чтобы найти сгенерированный файл в указанной позиции на втором шаге. Далее используйте server.jks для выдачи сертификатов C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Сертификат выдачи корневых сертификатов
Настроить Tomcat Найдите файл tomcat/conf/sever.xml и откройте его в виде текста. Найдите метку порта 8443 и измените её на: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Примечание: keystoreFile: путь, по которому хранится файл jks, и keystorePass: пароль при генерации сертификата Тест: Запустите сервер Tomcat, введите https://localhost:8443/ в браузер, и браузер запросит следующее изображение для успешного просмотра.
Конфигурация успешна
1.2 Двусторонняя аутентификация — конфигурация сервера Генерировать клиентские сертификаты
Генерируем пару таких файлов по методу генерации сертификатов, который мы называем: client.jks, client.cer. Добавить client.cer в файл client_for_server.jks Настройте сервер: измените метку порта 8443 на: Примечание: truststoreFile: путь файла к сертификату доверия, truststorePass: секрет сертификата доверия Тест: Запустите сервер Tomcat, введите https://localhost:8443/ в браузер, и браузер запросит следующее изображение для успешного просмотра.
Конфигурация успешна
1.3 Экспортный сертификат P12 В предыдущей статье мы узнали, что клиент аутентификации сервера должен импортировать сертификат P12 на клиенте, то есть как выпустить сертификат P12 вместе с корневым сертификатом. Компьютеры с Windows могут использовать Portecle для передачи:
Windows конвертирует сертификаты P12
2. Используйте цифровой сертификат сервера третьей стороны Для сторонних сертификатов CA нам нужно просто подать материалы для покупки корневого сертификата сервера, конкретный процесс следующий: 1. Сначала необходимо предоставить IP-адрес сервера сторонней организации (Примечание: IP-адрес, привязанный к сертификату сервера, может использоваться только для проверки сервера).
2. Здесь мы просим стороннюю организацию предоставить нам сертификат в формате .pfx. 3. Мы получаем сертификат формата pfx и конвертируем его в сертификат формата jks (с использованием конвертации Portecle), как показано на рисунке ниже:
Конвертация сертификатов
4. После получения сертификата формата JKS мы используем сервер для настройки Tomcat, находим файл tomcat/conf/sever.xml, открываем его в текстовой форме, находим метку порта 8443 и изменяем его на:
Настройте сервер
Примечание: keystoreFile: путь, по которому хранится файл jks, и keystorePass: пароль при генерации сертификата 5. После выполнения вышеуказанной операции — конфигурация серверного сертификата, запустите сервер Tomecat и введите его в браузерhttps://115.28.233.131:8443, который отображается следующим образом, указывает на успех (эффект такой же, как в 12306):
Проверка успешна
Примечание: если вы хотите использовать сертификаты платежных шлюзов, серверные клиенты аутентифицируют друг друга, вам также нужен шлюз аутентификации личности, этот шлюз требует покупки оборудования, есть G2000 и G3000, G2000 — устройство 1U, G3000 — устройство 3U, цена может составлять от 20 до 300 000 юаней. После покупки шлюза сторонняя организация предоставляет нам сертификаты, включая серверные и мобильные сертификаты (которые могут быть несколькими мобильными терминалами), и эти сертификаты должны проходить через их шлюзы, а выданные сертификаты могут быть в формате JKS.
| 
Опубликовано 22.03.2017 13:24:35
Хозяин