AP-TLS 是在基于证书的安全环境中使用的 EAP 类型。如果使用智能卡进行远程访问身份验证,必须使用 EAP-TLS 身份验证方法。EAP-TLS 消息交换在远程访问客户端与身份验证器之间提供相互身份验证、加密方法协商以及加密密钥确定。EAP-TLS 提供最强大的身份验证方法和密钥确定方法。
你好,下面主要说一说如何配置SSL/TLS服务器。Sun在JDK中提供了一个安全钥匙与证书的管理工具Keytool。Keytool 把钥匙,证书以及和与它们相关联的证书链储存到一个keystore,默任的实现keystore的是一个文件,它有一个密码保护存储在其中的内容。
配置一个SSL/TLS服务器需要以下几步:
假设服务器的域名是:test.server.net
1.为服务器的keystore,以存储证书等。
keytool -genkey -alias test.server.net -keyalg RSA -keystore <your_keystore_filename>
在执行上面的命令式,会要求用户输入一些信息,例如keystore密码,服务器区域等等,依照提示输入即可。
2.生成一个Certificate Signing Request (CSR),CSR是提供给证书颁发机构,供证书颁发机构依据其中信息生成证书的。
keytool -certreq -keyalg RSA -alias test.server.net -file certreq.csr -keystore <your_keystore_filename>
3.将CSR提供给证书颁发机构CA,等待CA颁发证书:
知名的CA有Versign, Thawte等。
4.在CA等网站上下载CA的根证书。
5.导入CA的根证书到keystore中
keytool -import -alias root -keystore <your_keystore_filename>-trustcacerts -file <filename_of_the_root_certificate>
6.导入CA颁发的证书到keystore,CA通常不会直接返回一个文件,而是通过网页或email以文本形式提供,需要用户自己创建一个文件,再将文本拷入。
keytool -import -alias test.server.net -keystore <your_keystore_filename>-trustcacerts -file <your_certificate_filename>
这样就完成对服务器的配置,最后为服务器指定这个keystore就可以了。
注意:一定导入正确的CA根证书,最常见的错误就是没有导入或导入错误的CA根证书。
注意:有些客户端,在使用SSL/TLS时必须通过域名来连接服务器,不能通过IP地址来连接。其所连接的服务器域名和服务器的证书的颁发对象必须相同。例如服务器的域名是test.server.net,那么服务器的证书也必须是颁发给test.server.net的。
天互数据 为您解答,希望能帮到你
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)