|
O procesu šifriranja in načelih HTTPS sem pisal v svojem prejšnjem članku "HTTPS Excuse Encryption and Authentication".
1. HTTPS samopodpisani CA certifikat in konfiguracija strežnika 1.1 Enotna avtentikacija - konfiguracija strežnika
Generiranje strežniškega certifikata
Dokument za samostojno vizum
A. Vnesite geslo za keystore: Tukaj morate vnesti niz večji od 6 znakov. B. "Kakšno je vaše ime in priimek?" To je zahtevano in mora biti domena ali IP gostitelja, kjer je TOMCAT nameščen (to je dostopni naslov, ki ga boste v prihodnosti vnesli v brskalnik), sicer bo brskalnik prikazal opozorilno okno, da uporabniški certifikat ne ustreza domeni. C. Kako se imenuje vaša organizacijska enota? "Kako se imenuje vaša organizacija?" "Kako se imenuje vaše mesto ali regija? "Kako se imenuje vaša zvezna država ali provinca?" "Kakšna je dvomestna koda te enote?" "Lahko vpišeš po potrebi ali ne, in vprašaš v sistemu 'Je pravilno?' Če so pogoji izpolnjeni, uporabite tipkovnico za vnos črke "y", v nasprotnem primeru vnesite "n" za ponovno izpolnitev zgornjih podatkov. D. Vneseno geslo ključa je pomembnejše, uporabljeno bo v konfiguracijski datoteki Tomcat, priporočljivo je vnesti isto geslo kot keystore, po zaključku zgornjega vnosa pa je mogoče nastaviti tudi druga gesla, da neposredno vnesete in najdete generirano datoteko na položaju, ki ste ga določili v drugem koraku. Nato uporabite server.jks za izdajo potrdil C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Potrdilo o izdaji korenskega potrdila
Configure Tomcat Poišči datoteko tomcat/conf/sever.xml in jo odpri kot besedilo. Poišči oznako za priključek 8443 in jo spremeni v: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" shema="https" secure="true" sslProtocol="TLS" /> Opomba: keystoreFile: pot, kjer je shranjena datoteka jks, in keystorePass: geslo pri generiranju certifikata Test: Zaženi Tomcat strežnik, vnesi https://localhost:8443/ v brskalnik in brskalnik pozove naslednjo sliko za uspeh.
Konfiguracija je uspešna
1.2 Dvosmerna avtentikacija - konfiguracija strežnika Generiranje odjemalskih certifikatov
Ustvarite par takšnih datotek glede na metodo generiranja certifikatov, ki jo imenujemo: client.jks, client.cer. Dodaj client.cer v datoteko client_for_server.jks Konfigurirajte strežnik: Spremenite oznako porta 8443 v: Opomba: truststoreFile: pot datoteke certifikata zaupanja, truststorePass: skrivnost potrdila zaupanja Test: Zaženi Tomcat strežnik, vnesi https://localhost:8443/ v brskalnik in brskalnik pozove naslednjo sliko za uspeh.
Konfiguracija je uspešna
1.3 Izvozno potrdilo P12 V prejšnjem članku smo izvedeli, da mora odjemalec za avtentikacijo strežnika uvoziti P12 certifikat na odjemalca, torej kako izdati P12 certifikat s korenskim certifikatom. Windows računalniki lahko uporabijo Portecle za prenos:
Windows pretvarja P12 certifikate
2. Uporabite digitalni certifikat strežnika tretje osebe Za certifikate tretjih oseb CA je vse, kar moramo storiti, oddati materiale za nakup korenskega certifikata strežnika, specifičen postopek je naslednji: 1. Najprej morate tretji osebi zagotoviti IP naslov strežnika (opomba: IP naslov, vezan na certifikat strežnika, se lahko uporablja le za preverjanje strežnika).
2. Tukaj prosimo tretjo organizacijo, da nam izda certifikat v .pfx formatu. 3. Dobimo certifikat za format pfx in ga pretvorimo v certifikat formata jks (z uporabo Portecle pretvorbe), kot je prikazano na spodnji sliki:
Pretvorba certifikata
4. Po pridobitvi certifikata JKS formata uporabimo strežnik za konfiguracijo Tomcata, poiščemo datoteko tomcat/conf/sever.xml, jo odpremo v besedilni obliki, poiščemo oznako porta 8443 in jo spremenimo v:
Konfigurirajte strežnik
Opomba: keystoreFile: pot, kjer je shranjena datoteka jks, in keystorePass: geslo pri generiranju certifikata 5. Po zaključku zgornje operacije sledi konfiguracija strežniškega certifikata, zaženite strežnik Tomecat in ga vnesite v brskalnikhttps://115.28.233.131:8443, ki je prikazan takole, označuje uspeh (učinek je enak kot pri 12306):
Preverjanje je uspešno
Opomba: Če želite narediti certifikate plačilnih prehodov, se strežniški odjemalci med seboj avtentikirajo, potrebujete tudi prehod za preverjanje identitete, ta prehod mora kupiti opremo, obstajajo G2000 in G3000, G2000 je 1U naprava, G3000 je 3U naprava, cena je lahko od 20 do 300.000 juanov. Po nakupu prehoda nam tretja organizacija zagotovi certifikate, vključno s strežniškimi in mobilnimi certifikati (ki so lahko več mobilnih terminalov), ti certifikati pa morajo preiti skozi njihove prehode, certifikati pa so lahko v formatu JKS.
| 
Objavljeno na 22. 03. 2017 13:24:35
Najemodajalec