|
O šifrovacom procese a princípoch HTTPS som písal vo svojom predchádzajúcom článku "HTTPS Exususe Encryption and Authentication".
1. HTTPS samopodpísaný CA certifikát a konfigurácia servera 1.1 Jednotná autentifikácia - Konfigurácia servera
Vygenerujte serverový certifikát
Dokument o samoobslužnom víze
A. Zadajte heslo keystore: Tu musíte zadať reťazec väčší ako 6 znakov. B. "Aké je vaše krstné a priezvisko?" Je to povinné a musí to byť doménové meno alebo IP hostiteľa, na ktorom je TOMCAT nasadený (čo je prístupová adresa, ktorú v budúcnosti zadáte do prehliadača), inak prehliadač zobrazí varovné okno, že používateľský certifikát nezodpovedá doméne. C. Ako sa volá vaša organizačná jednotka? "Ako sa volá vaša organizácia?" "Ako sa volá vaše mesto alebo región? "Ako sa volá váš štát alebo provincia?" "Aký je dvojpísmenový kód krajiny tejto jednotky?" "Môžete doplniť podľa potreby alebo nie, a v systéme sa opýtať "Je to správne?" Ak sú požiadavky splnené, použite klávesnicu na zadanie písmena "y", inak zadajte "n" na opätovné vyplnenie vyššie uvedených údajov. D. Kľúčové heslo zadané je dôležitejšie, bude použité v konfiguračnom súbore Tomcat, odporúča sa zadať rovnaké heslo ako keystore, a po dokončení vyššie uvedeného zadania je možné nastaviť aj ďalšie heslá, aby ste našli vygenerovaný súbor na pozícii, ktorú ste definovali v druhom kroku. Ďalej použite server.jks na vydávanie certifikátov C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Certifikát vydávania koreňového certifikátu
Configure Tomcat Nájdite súbor tomcat/conf/sever.xml a otvorte ho ako text. Nájdite štítok pre port 8443 a upravte ho na: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" schéma="https" secure="true" sslProtocol="TLS" /> Poznámka: keystoreFile: cesta, na ktorú je uložený súbor jks, a keystorePass: heslo pri generovaní certifikátu Test: Spustite server Tomcat, zadajte https://localhost:8443/ v prehliadači a prehliadač zobrazí nasledujúci obrázok, aby bol úspešný.
Konfigurácia je úspešná
1.2 Obojsmerná autentifikácia - konfigurácia servera Generovanie klientskych certifikátov
Vygenerujte dvojicu takýchto súborov podľa metódy generovania certifikátov, ktorú nazývame: client.jks, client.cer. Pridajte client.cer do súboru client_for_server.jks Konfigurujte server: Zmeňte označenie portu 8443 na: Poznámka: truststoreFile: cesta k súboru trustového certifikátu, truststorePass: tajomstvo trustového certifikátu Test: Spustite server Tomcat, zadajte https://localhost:8443/ v prehliadači a prehliadač zobrazí nasledujúci obrázok, aby bol úspešný.
Konfigurácia je úspešná
1.3 Exportný certifikát P12 V predchádzajúcom článku sme sa dozvedeli, že klient autentifikácie servera musí importovať P12 certifikát na klienta, teda ako vydať P12 certifikát s koreňovým certifikátom. Windows počítače môžu použiť Portecle na prenos:
Windows konvertuje P12 certifikáty
2. Použite digitálny certifikát servera tretej strany Pri certifikátoch tretích strán CA stačí predložiť materiály na kúpu koreňového certifikátu servera, konkrétny proces je nasledovný: 1. Najprv musíte poskytnúť IP adresu servera tretej strane (Poznámka: IP adresa viazaná na certifikát servera, certifikát môže byť použitý len na overenie servera).
2. Tu žiadame od tretej strany, aby nám poskytla certifikát vo formáte .pfx. 3. Získame certifikát formátu pfx a konvertujeme ho na certifikát formátu jks (pomocou prevodu Portecle), ako je znázornené na obrázku nižšie:
Konverzia certifikátu
4. Po získaní certifikátu formátu JKS použijeme server na konfiguráciu Tomcat, nájdeme súbor tomcat/conf/sever.xml, otvoríme ho v textovej podobe, nájdeme štítok portu 8443 a upravíme ho na:
Nakonfigurujte server
Poznámka: keystoreFile: cesta, na ktorú je uložený súbor jks, a keystorePass: heslo pri generovaní certifikátu 5. Po dokončení vyššie uvedenej operácie nasleduje konfigurácia serverového certifikátu, spustenie servera Tomecat a jeho zadanie v prehliadačihttps://115.28.233.131:8443, ktorý je zobrazený nasledovne, označuje úspech (efekt je rovnaký ako pri 12306):
Overenie je úspešné
Poznámka: Ak chcete robiť certifikáty platobných brán, klienti serverov sa navzájom autentifikujú, potrebujete aj identitnú autentifikovaciu bránu, táto brána vyžaduje nákup zariadení, existujú G2000 a G3000, G2000 je zariadenie 1U, G3000 je zariadenie 3U, cena môže byť od 20 do 300 000 jüanov. Po zakúpení brány nám tretia strana poskytne certifikáty, vrátane serverových a mobilných certifikátov (ktoré môžu byť viacerými mobilnými terminálmi), a tieto certifikáty musia prejsť cez ich brány, pričom certifikáty, ktoré nám dostaneme, môžu byť certifikáty vo formáte JKS.
| 
Zverejnené 22. 3. 2017 13:24:35
Prenajímateľ