|
Jag skrev om krypteringsprocessen och principerna för HTTPS i min tidigare artikel, "HTTPS Excuse Encryption and Authentication".
1. HTTPS självsignerad CA-certifikat och serverkonfiguration 1.1 Enkel autentisering - Serverkonfiguration
Generera ett servercertifikat
Självvisumdokument
S. Ange nyckelbutikens lösenord: Här behöver du ange en sträng som är större än 6 tecken. B. "Vad är ditt för- och efternamn?" Detta krävs och måste vara domännamnet eller IP-adressen för värden där TOMCAT distribueras (vilket är åtkomstadressen du kommer att ange i webbläsaren i framtiden), annars kommer webbläsaren att visa ett varningsfönster om att användarcertifikatet inte matchar domänen. C. Vad heter din organisationsenhet? "Vad heter er organisation?" "Vad heter din stad eller region? "Vad heter din stat eller provins?" "Vad är den tvåbokstaviga landskoden för den här enheten?" "Du kan fylla i vid behov eller inte, och fråga i systemet "Är det korrekt?" Om kraven uppfylls, använd tangentbordet för att skriva in bokstaven "y", annars ange "n" för att fylla i ovanstående information igen. D. Nyckellösenordet som anges är viktigare, det kommer att användas i tomcat-konfigurationsfilen, det rekommenderas att ange samma lösenord som i keystore, och andra lösenord kan också ställas in, efter att ha slutfört ovanstående inmatning, gå direkt in för att hitta den genererade filen på den position du definierade i andra steget. Använd sedan server.jks för att utfärda certifikat C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Utfärdande av rotcertifikat
Konfigurera Tomcat Hitta tomcat/conf/sever.xml-filen och öppna den som text. Hitta etiketten för port 8443 och ändra den till: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Notera: keystoreFile: sökvägen där jks-filen lagras, och keystorePass: lösenordet när certifikatet genereras Test: Starta Tomcat-servern, ange https://localhost:8443/ i webbläsaren, och webbläsaren ger följande bild för att lyckas.
Konfigurationen är framgångsrik
1.2 Tvåvägsautentisering - serverkonfiguration Generera klientcertifikat
Generera ett par sådana filer enligt metoden för att generera certifikat, som vi kallar client.jks, client.cer. Lägg till client.cer i filen client_for_server.jks Konfigurera servern: Ändra etiketten på port 8443 till: Not: truststoreFile: filvägen för förtroendecertifikatet, truststorePass: hemligheten för förtroendecertifikatet Test: Starta Tomcat-servern, ange https://localhost:8443/ i webbläsaren, och webbläsaren ger följande bild för att lyckas.
Konfigurationen är framgångsrik
1.3 Export av P12-certifikat I den föregående artikeln lärde vi oss att serverautentiseringsklienten behöver importera ett P12-certifikat på klienten, så hur man utfärdar ett P12-certifikat med rotcertifikatet. Windows-datorer kan använda Portecle för att överföra:
Windows konverterar P12-certifikat
2. Använd ett digitalt certifikat från tredjepartsservern För tredjeparts CA-certifikat behöver vi bara skicka in material för att köpa ett serverrotcertifikat, den specifika processen är följande: 1. Först måste du lämna serverns IP-adress till tredjepartsorganisationen (Observera: IP-adressen som är bunden till servercertifikatet, certifikatet kan endast användas för att verifiera servern).
2. Här ber vi tredjepartsorganisationen att tillhandahålla oss ett certifikat i .pfx-format. 3. Vi hämtar pfx-formatcertifikatet och konverterar det till jks-formatcertifikatet (med Portecle-konvertering) som visas i figuren nedan:
Certifikatkonvertering
4. Efter att ha fått JKS-formatcertifikatet använder vi servern för att konfigurera Tomcat, hitta tomcat/conf/sever.xml-filen, öppna den i textform, hitta etiketten för port 8443 och ändra den till:
Konfigurera servern
Notera: keystoreFile: sökvägen där jks-filen lagras, och keystorePass: lösenordet när certifikatet genereras 5. Efter att ovanstående operation slutförts är servercertifikatskonfigurationen, starta Tomecat-servern och mata in den i webbläsarenhttps://115.28.233.131:8443, som visas enligt följande, indikerar framgång (effekten är densamma som i 12306):
Verifieringen är framgångsrik
Obs: Om du vill göra betalningsgateway-certifikat, serverklienter autentiserar varandra, behöver du också en identitetsautentiseringsgateway, denna gateway kräver att man köper utrustning, det finns G2000 och G3000, G2000 är en 1U-enhet, G3000 är en 3U-enhet, priset kan ligga mellan 20 och 300 000 yuan. Efter köpet av gatewayen förser tredjepartsorganisationen oss certifikat, inklusive servercertifikat och mobilcertifikat (som kan vara flera mobila terminaler), och dessa certifikat måste passera genom sina gateways, och certifikaten som ges till oss kan vara JKS-formatcertifikat.
| 
Publicerad på 2017-03-22 13:24:35
Hyresvärd