如何建立Portal认证WEB服务器

可以直接用一台PORTAL认证的设备, 对接AC, 单独在互联网上部署一台WEB服务器,把所有的要推送的页面都存储在这台WEB服务器上面, 用户一接入无线以后,会由AC重定向到PORTAL,PORTAL从WEB服务器中调取页面下发给用户 蓝海卓越的方案里面有这种组网,

天威诚信的TA（Trust Access）可以实现服务器和用户端的双向认证，原理如下

在网站服务器端，通过部署服务器证书，使用户在登录网站的时候可以通过明显的浏览器地址栏右侧的显示框看到网站域名被验证通过的信息，并且可以通过点击验证网站的真实信息；同时利用服务器证书的密码机制将网站服务器与访问者浏览器之间传输的信息进行全程加密。

在访问者用户端，将捆绑了用户信息的数字证书存储于高度安全的天威盾中，在用户访问应用服务器时，服务端要求用户端出示身份证书，并验证用户真实身份，确认是经过授权的用户后才允许访问网站敏感信息。

追求高强度信息安全的用户，如提供信息检索、网络购物、电子支付、网络社区、网络游戏、网络视频等的网络服务提供商，均可以通过使用TA（Trust Access）在服务器端部署服务器证书，在用户端使用个人证书来完成受访网站及访问者之间的双向认证，保证访问链接行为是经过双方授权的，最大程度的保护传输数据的安全和用户隐私信息的安全，有效避免假冒网站及虚假用户的冒充及骗取行为。

在配置DNS主从服务器同步的时候，bind服务默认是允许任何人进行同步的，但是这样容易造成安全隐患。bind服务支持通过限制IP和key认证两种方式来对同步的来源Ip进行限制，限制IP的方法已经在此前的文章中演示多次，因此本文着重描述如何使用key认证来限制从服务器的来源。

本次实验我使用了两台虚拟机进行测试，分别是：

相关的主从服务器的配置此处不多细说，可参考我此前的文章； https://wwwjianshucom/p/e8b5866802d1

在DNS主服务器上生成认证key：

编辑/etc/namedconf文件：

编辑/etc/namedrfc1912zones文件：

随后分别创建/var/named/handwellcomzone和/var/named/1888888zone文件：

随后检查相关的配置文件，如无报错后，重新加载named服务即可：

此时没通过key认证的服务器尝试来同步相关的区域数据时，通过systemctl status named 或查看 /var/log/messages日志可看到以下的拒绝报错：

或者如果从服务器的认证key不正确，也会出现以下报错：

编辑从服务器的/etc/namedconf 文件：

编辑/etc/namedrfc1912zones文件：

配置完成后，验证检查相应的配置文件后重启服务即可：

此时查看对应的日志文件应能看到相应的同步信息如：

WIFI网络认证方法：

在桌面点击控制面板，进入控制面板页面。在控制面板页面，网络状态和任务。进入查看网络状态和任务页面后，点击更改适配器设置。进去网络连接之后首先查看连接有没有被禁用，如果禁用了话进行启用，没有禁用可以先禁用然后再启用，进行重新识别网络。

网络认证8021x协议起源于80211协议，后者是IEEE的无线局域网协议， 制订8021x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LAN Switch)就可以访问局域网中的设备或资源。

相关信息

认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行8021x定义的EAPoL (Extensible Authentication Protocol over LAN)协议。当认证系统工作于中继方式时。

认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

web上网认证的设置步骤如下：

1、web上网即每次上网时，打开浏览器后页面会自动跳转到服务商的门户网站，输入用户名和密码即可上网，首先按图示连接路由器和电脑。

2、对于该类上网方式，在路由器中暂无法进行设置，但可以尝试通过以下设置来实现。连接电脑使用单机能上网的电脑，通过网线连接到路由器的LAN口。

3、打开浏览器输入点击网络参数 LAN口设置，修改LAN口IP地址与前端网络不在同一网段保存，路由器提示重启，点击确定。

4、设置WAN口的上网方式使用修改后的管理IP地址重新登录路由器管理界面，点击网络参数 WAN口设置，WAN口上网方式选择动态IP。

5、如果运营商指定使用固定的IP地址，则需要选择静态IP，并设置对应参数。点击克隆MAC地址，看到页面显示的两个MAC地址一样，点击保存，提示重启生效，点击确定即设置好web上网认证。

为最佳JSP服务器Resin加上SSL认证

Resin主要是作为WEB服务器的jsp/servlets运行平台。它支持许多WEB服务器软件，而且是完全免费的，并提供了对SUN的J2EE的支持，这要比其它相关的java和javascript开发和运行平台要好的多，而且速度非常快，并提供服务器端直接开发、编译和运行。因此，Resin受到了许多应用JSP的WEB站点的支持。

一、 在WEB服务器中使用OpenSSL套件

1、安装OpenSSL

想要Resin可以响应SSL请求，我们就必需保证WEB服务器上已经安装好了相关的SSL套件。对于中小企业来说，开源免费的OpenSSL提供与SSL相同的认证功能。

OpenSSL的Linux版本可以在wwwopensslorg网站上下载。现在它的最新版本是OpenSSL 098j。

Resin通过它的libexec/libresinsslso JNI库文件提供对OpenSSL的支持。如果是在类Linux系统下使用OpenSSL，在安装时可以通过下列命令将它安装到指定的位置：

/configure --with-openssl=/usr/local/ssl

如果我们是在Windows系统中使用Resin，那么，我们同样需要在此操作系统下先安装好OpenSSL。Windows下的OpenSSL在wwwslprowebcom/products/Win32OpenSSLhtml下载，它的最新安装文件是Win32OpenSSL-0_9_8jexe，其大小为7MB左右。

在Windows系统下，Resin的resinssldll文件中包含提供对OpenSSL支持的代码。（在Resin30以前的版本是通过resindll文件提供支持的。）因此，在Windows系统下只需要安装好OpenSSL就可以让Resin使用它了。OpenSSL在Windows系统下很容易安装，就如同安装其它的应用程序一样简单。

不过，在Windows系统下安装完OpenSSL后，还应当将一些需要的DLL文件复制到Resin的根目录当中。现在假设Resin安装在c:\resin-321目录，OpenSSL安装在c:\Program Files\GnuWin32目录。现在打开系统开始菜单的“运行”对话框，在运行框中输入CMD命令，回车后进入命令行终端界面。然后在命令行终端下就可以通过下列所示的命令将OpenSSL安装目录下的相关文件复制到Resin的根目录下：

cd resin-321

copy c:\Program Files\GnuWin32\bin\libssl32dll c:\resin-321\libssl32dll

copy c:\Program Files\GnuWin32\bin\libeay32dll c:\resin-321\libeay32dll

2、生成SSL认证私钥

SSL认证的密钥由OpenSSL来生成，生成后的密钥应当保存到相应的Resin目录中。因此，在生成密钥前，我们可以在Resin根目录中创建一个keys子目录用来保存将要创建的密钥。在类Linux系统下，我们可以通过下列方式来创建keys目录：

cd /resin

mkdir keys

在Windows系统下，我们可以在资源管理器中直接在Resin根目录下创建一个新文件夹，并命名为keys即可。

在生成密钥时，OpenSSL会根据其配置文件中设置的内容来生成。在类Linux系统下，这个缺省的配置文件可能在usr/ssl/opensslcnf或/usr/share/ssl/opensslcnf下。而Windows系统中不存在这样的文件。

当然，我们还可以自己创建一个相应的配置文件保存到Resin/keys/目录下。这样，在创建密钥时，OpenSSL也会根据这个配置文件中的内容来创建，而且，在创建密钥时不会要求我们根据提示输入缺省的相关信息了。

下面是一个opensslcnf配置文件的相关内容实例：

[ req ]

default_bits = 1024 #在这里填入加密键的缺省位数

distinguished_name = req的名称

[ req_distinguished_name ]

C = 在这里填入国家的代码，例如CN，代表中国

C_default =

ST = 这里填写州或省名称

ST_default =

L = 城市

L_default =

O = 企业或机构名称

O_default =

OU = 组织中某个部门的名称，例如市场部

OU_default =

CN = 我们的网站域名，必需是全名，例如wwwmywebcom

CN_default =

emailAddress = 联系的E-Mail邮箱地址

emailAddress_default =

完成OpenSSL配置文件的相关设置后，我们就可以开始为SSL认证创建一个私钥。在WEB服务器上创建私钥时，会要求我们输入相应的密码，这个密码将会在我们使用创建的私钥时要求被输入。因此要牢记这个密码并妥善地保管它。我们还必需将这个密码加入到Resin的配置文件当中。

在类Linux系统下创建私钥时，私钥的文件名可以由我们自己决定，可以通过下列所示命令来完成：

openssl genrsa -des3 -out myprikeykey 1024

在Windows系统下创建私钥。得先进入命令行终端界面，然后用CD命令切换到OpenSSL安装目录，再用下列命令产生私钥；

c:\Program Files\GnuWin32\bin\opensslexe genrsa -des3 -out myprikeykey 1024

二、 创建或申请SSL证书：

为了能够加密与用户的会话数据，我们还必需为SSL认证创建或申请一个公钥证书。这个公钥证书在使用时会由Resin发送给用户的浏览器，以便浏览器能够加密其发送的数据。公钥证书可以由OPENSSL产生一个自签名证书，也可以到第三方SSL证书颁发机构申请一个公钥证书。要注意的是，自签名证书将不能被其浏览器所承认。

1、创建一个自签名证书

当我们只是用来测试WEB服务器的SSL安全连接，或者只是作为企业远程办公之用时，那么创建一个自签名证书将会为我们节省一笔小钱。但是，对于这样的自签证书，WEB浏览器是不会承认的，还会为此弹出一个警告框来提醒用户这个证书不是一个公认的SSL证书。不过，用户浏览器与WEB服务器之间的会话数据仍然是被SSL加密了的。

在类Linux系统下创建自签名证书，可以使用下列命令来完成：

openssl req -config /opensslcnf -new -key myprikeykey -x509 -out myselfcrt

在Windows系统下创建自签名证书，在字符终端用CD命令进入OpenSSL安装目录后，可以通过下列命令完成：

c:\Program Files\GnuWin32\bin\opensslexe req -config /opensslcnf -new -key myprikeykey -x509 -out myselfcrt

其中，自签名证书的名称可以由我们自己决定，例在本例中为myselfcrt，而“-key”参数后带的键文件是在上面我们创建的私钥文件，而命令中的“/opensslcnf”表示当前目录下的OpenSSL的配置文件。

如果我们没有按前文所述方式生成一个OpenSSL配置文件，或者没有修改此配置文件中的缺少配置值，那么在创建过程中会要求我们提供一些基本的与WEB服务器相关的身份资料，例如企业名称和网站域名等信息。

2、创建一个证书请求文件

如果要使用第三方证书颁发机构上的证书，那么就必需先创建一个证书请求文件（CSR）。这个证书请求文件中包含有证书的公钥、企业名称、加密位数、地址和网站域名等信息。

当我们在第三方证书颁发机构上申请证书时，就会要求我们提交这个证书请求文件，然后，证书颁发机构才能将SSL证书颁发给我们。现在提供SSL证书的机构有许多，例如VeriSign公司就是其中最著名的代表。在生成证书请求文件时一定要注意，我们使用什么样的WEB服务器软件，就必需生成与它相兼容的证书请求文件，这样，SSL证书颁发机构颁发给我们的证书才能在此WEB服务器下使用。

在Linux系统下生成证书请求文件，可以使用下列命令达到目的：

openssl req -new -config /opensslcnf -key myprikeykey -out myprikeycsr

在Windows系统下生成证书请求文件，在命令行界面中通过CD命令进入OpenSSL安装目录后，通过下列命令来完成证书请求文件的生成：

c:\Program Files\GnuWin32\bin\opensslexe req -new -config /opensslcnf -key myprikeykey –out myprikeycsr

证书请求文件的文件名可以由我们自己来决定，在本文中为myprikeycsr。在生成证书请求文件过程中会要求我们输入一些与WEB服务器身份相关的信息，例如网站域名和企业名称等。我们必需按要求如实填写。

当我们成功注册，并支付相应的年使用费之后，这些证书颁发机构就会将SSL证书发送到我们填写的电子邮箱当中。

三、 配置Resin使用私钥和SSL证书

要想Resin能够使用SSL认证，我们还必需对其配置文件resinconf做相应的设置。具体要配置的内容包括：

keys/ myselfcrt

keys/ myprikeykey

mypassword

其中，中的内容表示SSL连接使用的默认端口号，如果没有特别要求，可以保持默认。和之间的内容填入Resin可以使用的SSL认证公钥，在这里为myselfcrt。和之间的内容填入Resin可以使用的私钥，在本文中为myprikeykey。至于和之间就是填入我们在创建私钥时设置的密码。

四、 测试Resin的SSL加密连接

当我们配置好Resin的SSL认证后，我们还可以通过一些方式来检验我们的配置是否正确。

在Windows系统下，我们就可以通过在WEB浏览器地址栏中输入https://URL（企业网站的域名）的方式，来验证WEB服务器是否对这样的URL地址做出正确响应。如果返回正常的内容，并且在WEB浏览器地址栏中显示出一个挂锁的标志，那么，Resin的SSL配置就算成功了。

在Linux系统下，除了可以上述方式来检验外，还可以通过下列方式来验证：

openssl s_client -connect wwwmywebcom:443 –prexit

另外，我们还可以通过下列的JSP脚本来快速验证Resin是否对SSL做出反应：

Secure <%= requestisSecure() %>

经过上述的检验操作后，如果都能得到WEB服务器的正确响应，那么就说明Resin已经能够提供对SSL技术的支持了。

也就是说，当用户通过WEB浏览器向WEB服务器发送一个SSL请求时，Resin就会为这个WEB浏览器提供SSL认证的公共密钥，然后，这个WEB浏览器就可以使用这个公共密钥来加密数据，而Resin将使用WEB服务器的SSL私钥对加密的数据进行解密。