|
Önceki makalemde, "HTTPS Şifreleme ve Doğrulama Mazet" adlı makalemde HTTPS'nin şifreleme süreci ve ilkeleri hakkında yazmıştım.
1. HTTPS kendi imzalı CA sertifikası ve sunucu yapılandırması 1.1 Tek Kimlik Doğrulama - Sunucu Yapılandırması
Bir sunucu sertifikası oluştur
Kendi kendine vize belgesi
A. Anahtar deposu şifresini girin: Burada 6 karakterden büyük bir dizi girmeniz gerekir. B. "Adınız ve soyadınız nedir?" Bu gereklidir ve TOMCAT'in konuşlandırıldığı ana bilgisayarın alan adı veya IP adresi olmalıdır (gelecekte tarayıcıya gireceğiniz erişim adresi), aksi takdirde tarayıcı kullanıcı sertifikasının alan adıyla eşleşmediğine dair bir uyarı penceresi açar. C. Organizasyon biriminizin adı nedir? "Kuruluşunun adı nedir?" "Şehrinizin veya bölgenizin adı nedir? "Eyaletinizin veya eyaletinizin adı nedir?" "Bu birimin iki harfli ülke kodu nedir?" "Gerekirse doldurup doldurmayabilirsin ve sistemde "Doğru mu?" diye sorabilirsin. Gereksinimler karşılanırsa, klavyeyi kullanarak "y" harfini girin, aksi takdirde yukarıdaki bilgileri tekrar doldurmak için "n" yazın. D. Girilen anahtar şifresi daha önemlidir, tomcat yapılandırma dosyasında kullanılır, anahtar deposuyla aynı şifreyi girmeniz önerilir ve yukarıdaki girişi tamamladıktan sonra doğrudan girerek oluşturulan dosyayı ikinci adımda belirlediğiniz konumda bulabilirsiniz. Sonra, sertifikalar vermek için server.jks kullanın C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Kök sertifika verme sertifikası
Tomcat'i Yapılandırma Tomcat/conf/sever.xml dosyasını bulup metin olarak açın. 8443 portunun etiketini bulun ve şu şekilde değiştirin: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Not: keystoreFile: jks dosyasının saklandığı yol, keystorePass: sertifika oluşturulurken şifre Test: Tomcat sunucusunu başlatın, https://localhost:8443/ tarayıcıya girin ve tarayıcı aşağıdaki görseli başarılı olarak önerir.
Konfigürasyon başarılı oldu
1.2 Çift yönlü kimlik doğrulama - sunucu yapılandırması İstemci sertifikaları oluşturun
Sertifika oluşturma yöntemine göre bu tür dosyalardan çift üretin; buna client.jks, client.cer adını veriyoruz. client.cer client_for_server.jks dosyasına ekle Sunucuyu yapılandırma: 8443 portunun etiketini şu şekilde değiştirin: Not: truststoreFile: güven sertifikasının dosya yolu, truststorePass: güven sertifikasının sırrı Test: Tomcat sunucusunu başlatın, https://localhost:8443/ tarayıcıya girin ve tarayıcı aşağıdaki görseli başarılı olarak önerir.
Konfigürasyon başarılı oldu
1.3 P12 sertifikası ihracat Önceki makalede, sunucu kimlik doğrulama istemcisinin istemcide bir P12 sertifikası içe aktarması gerektiğini, yani kök sertifikayla P12 sertifikası nasıl verileceğini öğrenmiştik. Windows bilgisayarları Portecle kullanarak şunları aktarabilir:
Windows, P12 sertifikalarını dönüştürür
2. Üçüncü taraf sunucu dijital sertifikası kullanın Üçüncü taraf CA sertifikaları için, sunucu kök sertifikası satın almak için materyal göndermemiz gerekiyor, özel süreç şöyledir: 1. İlk olarak, sunucu IP adresini üçüncü taraf kuruluşa vermeniz gerekir (Not: sunucu sertifikasına bağlı IP adresi, sertifika yalnızca sunucuyu doğrulamak için kullanılabilir).
2. Burada üçüncü taraf kuruluştan .pfx formatında bir sertifika sağlamasını talep ediyoruz. 3. PFX format sertifikasını alır ve aşağıdaki şekilde gösterildiği gibi (Portecle dönüşümü kullanılarak) jks format sertifikasına dönüştürürüz:
Sertifika dönüşümü
4. JKS format sertifikasını aldıktan sonra, sunucuyu kullanarak Tomcat'i yapılandırıyoruz, tomcat/conf/sever.xml dosyasını buluyoruz, metin formunda açıyoruz, port 8443'ün etiketini buluyoruz ve şu şekilde değiştiriyoruz:
Sunucuyu yapılandırma
Not: keystoreFile: jks dosyasının saklandığı yol, keystorePass: sertifika oluşturulurken şifre 5. Yukarıdaki işlemi tamamladıktan sonra sunucu sertifikası yapılandırmasıdır, Tomecat sunucusunu başlatın ve tarayıcıya girinhttps://115.28.233.131:8443, aşağıdaki şekilde gösterilen, başarıyı gösterir (etki 12306 ile aynıdır):
Doğrulama başarılı oldu
Not: Ödeme geçidi sertifikaları yapmak istiyorsanız, sunucu istemcileri birbirini doğrular, ayrıca bir kimlik doğrulama geçidi de gerekir, bu geçit ekipman satın almalısınız, G2000 ve G3000 var, G2000 1U cihaz, G3000 3U cihaz, fiyat 20 ila 300.000 yuan arasında olabilir. Gateway'i satın aldıktan sonra, üçüncü taraf kuruluş bize sunucu sertifikaları ve mobil sertifikalar (bunlar birden fazla mobil terminal olabilir) dahil olmak üzere sertifikalar sağlar ve bu sertifikalar kendi geçitlerinden geçmeli, bize verilen sertifikalar ise JKS formatlı sertifikalar olabilir.
| 
Yayınlandı 22.03.2017 13:24:35
Ev sahibi