2-2安裝java環境
-
執行更改密碼程式需要java 環境
可以在命令提示字元打以下指令
|
C:\Users\Administrator>java -version 'java' 不是內部或外部命令、可執行的程式或批次檔。 |
表示尚未安裝, 建議可安裝adoptopenjdk 11
openjdk 11
如果是使用linux, 則直接搜尋openjdk 11
ubuntu 安裝openjdk 11
|
#sudo apt install openjdk-11-jdk |
下載安裝完後, 關掉原先的命令提示字元視窗,再重新打開執行
2-3匯出憑證
如果我們ldap admin改用ssl登入
會出現警告訊息
因為我們先前建立的是自簽未經驗證的憑證, 所以要手動按相信它,才能繼續連線
校端更改密碼程式也是如此,必須相信這台Windows AD發出的憑證,才能溝通
-
匯出Windows AD憑證
開啟一個可以確認存檔的位置,例如本機->文件 新建一個資料夾 cert
利用certutil 指令匯出憑證
|
C:\Users\Administrator\Documents\cert>certutil -ca.cert happy.cer CA 憑證[0]: 3 -- 有效 CA 憑證[0]: -----BEGIN CERTIFICATE----- MIIDtzCCAp+gAwIBAgIQFkmOwAefxpNK2vCJJUeX2jANBgkqhkiG9w0BAQsFADBt MRIwEAYKCZImiZPyLGQBGRYCdHcxEzARBgoJkiaJk/IsZAEZFgNlZHUxEjAQBgoJ kiaJk/IsZAEZFgJ0YzEVMBMGCgmSJomT8ixkARkWBWhhcHB5MRcwFQYDVQQDEw5o YXBweS1XSU5BRC1DQTAgFw0xOTA0MjUxNDA0MzZaGA8yMTE4MDQyNTE0MTQzNlow bTESMBAGCgmSJomT8ixkARkWAnR3MRMwEQYKCZImiZPyLGQBGRYDZWR1MRIwEAYK CZImiZPyLGQBGRYCdGMxFTATBgoJkiaJk/IsZAEZFgVoYXBweTEXMBUGA1UEAxMO aGFwcHktV0lOQUQtQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDR /JQP5UIitSxWEmFwTzxAluLwFGtGR0G1edx25avpugeU+OWYy9hvxe5J33EDcpcA pWRbma9ejZgsev7WUlbe6X6640Bc3tIjyqqQLDZbvNSQ5nV248f2HVVXeLAOM6cF 41gwSsQaZr8CqlfvnOd4KXyjG8FH2tAnbTH74fkA5A6QEG6JCj5T+/fJSuWbFROA 64GzEb/BTIa+T6GJKITyoByJYLcR/w+TqfskB3qs1apJlC7f+oqY+L8NOZLPspWY pqeJN09qqVqhaALUOGE2kuN7A27DuqGv8vp75iCeYqHNXyttrEkdk1KMs/1URm1R HtvzeJRxzmaEYRkoReclAgMBAAGjUTBPMAsGA1UdDwQEAwIBhjAPBgNVHRMBAf8E BTADAQH/MB0GA1UdDgQWBBQxnOpdeVOPLGkCg84ep0NBkBpjaDAQBgkrBgEEAYI3 FQEEAwIBADANBgkqhkiG9w0BAQsFAAOCAQEAm8zc0YrqUXp8Cb5rbemvuM3ACLI7 DNoir9f3Au8RWVgtLUt1P0E08QTAh+l+CS4RWi9r/wudhj7Z8M1f0c3adBRwQQVP XMwul8fxVTMCJrf8EkAkcsgMZYUJviVViOaoUgKEFfl/vHekohMn/vFSEtAn6ov0 uAazerargEv9U7WB9TkYStOn3svUTY/ymHbd0FlyvwQpqP4059ZYPj+MKF1wPDVf vNhOcipRdTfk/QB16s+lrtgWYA/Ny7MIXG4J48Wm500bbwqDIy73NNVaQAi/AOWy CfTxst4FlPBAEJ2GSsZP4u3clFvPkBy0G/CRyfhYczI+XIJdxmZIwhZRoA== -----END CERTIFICATE-----
CertUtil: -ca.cert 命令成功完成。 |
-
使用keytool建立信任庫檔案JKS
keytool 可以將剛剛匯出的cer轉成java keystore, 路徑在先前安裝的openjdk資料夾中, 可以在剛剛的命令提示字元直接打keytool 看看是否可直接使用
|
C:\Users\Administrator\Documents\cert>keytool 金鑰與憑證管理工具
命令:
-certreq 產生憑證要求 -changealias 變更項目的別名 -delete 刪除項目 -exportcert 匯出憑證 -genkeypair 產生金鑰組 -genseckey 產生秘密金鑰 -gencert 從憑證要求產生憑證 -importcert 匯入憑證或憑證鏈 -importpass 匯入密碼 -importkeystore 從其他金鑰儲存庫匯入一個或全部項目 -keypasswd 變更項目的金鑰密碼 -list 列示金鑰儲存庫中的項目 -printcert 列印憑證的內容 -printcertreq 列印憑證要求的內容 -printcrl 列印 CRL 檔案的內容 -storepasswd 變更金鑰儲存庫的儲存密碼
使用 "keytool -command_name -help" 取得 command_name 的用法
|
執行命令, 預設密碼是changeit
|
C:\Users\Administrator\Documents\cert>keytool -noprompt -importcert -file "happy.cer" -keystore "happy.jks" -storepass changeit 憑證已新增至金鑰儲存庫中
|
將台中市校端api服務器的憑證合併到 happy.jks中
利用瀏覽器匯出檔案
|
#keytool -noprompt -importcert -alias cs.tc.edu.tw -keystore happy.jks -file cs.tc.edu.tw.cer -storepass changeit 憑證已新增至金鑰儲存庫中 |
-alias cs.tc.edu.tw 代表雲端校務系統, 現在每年都需要加入新憑證, 建議可加上西元年
-alias cs2020.tc.edu.tw
將happy.jks 複製到校端更改密碼程式的資料夾
