|
Я писав про процес шифрування та принципи HTTPS у своїй попередній статті «HTTPS Виправдання шифрування та автентифікації».
1. HTTPS-самопідписаний сертифікат CA та конфігурація сервера 1.1 Єдина автентифікація — конфігурація сервера
Генерація сертифіката сервера
Документ про самовізу
В. Введіть пароль від сховища ключів: тут потрібно ввести рядок більший за 6 символів. Б. «Яке ваше ім'я та прізвище?» Це обов'язково і має бути доменне ім'я або IP хоста, на якому розгорнуто TOMCAT (це адреса доступу, яку ви введете в браузері в майбутньому), інакше браузер з'явиться попереджувальне вікно, що сертифікат користувача не відповідає домену. C. Яка назва вашого організаційного підрозділу? "Як називається ваша організація?" "Як називається ваше місто чи регіон? "Як називається твій штат чи провінція?" "Який дволітерний код країни в цьому підрозділі?" "Ви можете заповнити за потреби або ні, і запитати в системі: "Це правильно?" Якщо вимоги виконані, використовуйте клавіатуру для введення літери «y», інакше введіть «n», щоб знову заповнити вищезазначену інформацію. D. Пароль, введений ключем, є важливішим, він буде використаний у конфігураційному файлі tomcat, рекомендується ввести той самий пароль, що й у сховищі ключів, а інші паролі також можна встановити, після виконання вищезазначеного введення безпосередньо ввести файл, щоб знайти згенерований файл у визначеній позиції на другому кроці. Далі використовуйте server.jks для видачі сертифікатів C:Users�wkt>keytool -export -aliasserver -file server.cer -keystore server.jks
Сертифікат видачі кореневого сертифіката
Налаштувати Tomcat Знайдіть файл tomcat/conf/sever.xml і відкрийте його у вигляді тексту. Знайдіть етикетку порту 8443 і змініть її на: disableUploadTimeout="true" enableLookups="true" keystoreFile="C:Users�wktserver.jks" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> Примітка: keystoreFile: шлях, де зберігається файл jks, та keystorePass: пароль при генерації сертифіката Тест: Запустіть сервер Tomcat, введіть https://localhost:8443/ у браузері, і браузер запросить наступне зображення для успішності.
Конфігурація успішна
1.2 Двонаправлена автентифікація — конфігурація сервера Генерація клієнтських сертифікатів
Згенеруйте пару таких файлів за методом генерації сертифікатів, який ми називаємо: client.jks, client.cer. Додайте client.cer до файлу client_for_server.jks Налаштуйте сервер: змініть мітку порту 8443 на: Примітка: truststoreFile: шлях до файлу сертифіката довіри, truststorePass: секрет сертифіката довіри Тест: Запустіть сервер Tomcat, введіть https://localhost:8443/ у браузері, і браузер запросить наступне зображення для успішності.
Конфігурація успішна
1.3 Експортний сертифікат P12 У попередній статті ми дізналися, що клієнт аутентифікації сервера повинен імпортувати P12-сертифікат на клієнт, тобто як видати P12-сертифікат із кореневим сертифікатом. Комп'ютери з Windows можуть використовувати Portecle для передачі:
Windows конвертує сертифікати P12
2. Використовуйте цифровий сертифікат стороннього сервера Для сторонніх сертифікатів CA все, що потрібно зробити — це подати матеріали для придбання кореневого сертифіката сервера, конкретний процес виглядає так: 1. Спочатку потрібно надати IP-адресу сервера сторонній організації (Примітка: IP-адреса, прив'язана до сертифіката сервера, може використовуватися лише для верифікації сервера).
2. Тут ми просимо сторонню організацію надати нам сертифікат у форматі .pfx. 3. Ми отримуємо сертифікат формату pfx і конвертуємо його у сертифікат формату jks (використовуючи конвертацію Portecle), як показано на рисунку нижче:
Конвертація сертифікатів
4. Після отримання сертифіката формату JKS ми використовуємо сервер для налаштування Tomcat, знаходимо файл tomcat/conf/sever.xml, відкриваємо його у текстовій формі, знаходимо мітку порту 8443 і змінюємо його на:
Налаштуйте сервер
Примітка: keystoreFile: шлях, де зберігається файл jks, та keystorePass: пароль при генерації сертифіката 5. Після виконання вищезазначеної операції конфігурація сертифіката сервера, запустіть сервер Tomecat і введіть його в браузерhttps://115.28.233.131:8443, який відображається наступним чином, вказує на успіх (ефект такий самий, як у 12306):
Верифікація успішна
Примітка: якщо ви хочете отримати сертифікати платіжних шлюзів, серверні клієнти автентифікують один одного, вам також потрібен шлюз автентифікації ідентифікації, цей шлюз потребує придбання обладнання, є G2000 і G3000, G2000 — це пристрій 1U, G3000 — пристрій 3U, ціна може становити від 20 до 300 000 юанів. Після придбання шлюза стороння організація надає нам сертифікати, включно з серверними та мобільними сертифікатами (які можуть бути кількома мобільними терміналами), і ці сертифікати мають проходити через їхні шлюзи, а видані сертифікати можуть бути сертифікатами формату JKS.
| 
Опубліковано 22.03.2017 13:24:35
Орендодавець