Bagaimana cara mengimplementasikan SSL di Apache Tomcat?

Panduan langkah demi langkah untuk mengatur sertifikat SSL / TLS di server Tomcat.


Salah satu tugas penting untuk mengamankan Tomcat adalah mengkonfigurasi sertifikat SSL, sehingga aplikasi web dapat diakses HTTPS.

Ada banyak cara untuk mencapai ini.

  • Anda dapat mengakhiri SSL di load balancer
  • Terapkan SSL di tingkat CDN
  • Gunakan server web seperti Apache, Nginx, dll. Di depan dan terapkan SSL di sana

Namun, jika Anda tidak menggunakan salah satu di atas atau menggunakan ini sebagai front-end atau perlu menggunakan SSL langsung di Tomcat, maka hal berikut ini akan membantu Anda.

Pada artikel ini, kami akan melakukan seperti di bawah ini.

  • Hasilkan CSR (Permintaan penandatanganan sertifikat)
  • Impor sertifikat dalam file keystore
  • Aktifkan SSL di Tomcat
  • Konfigurasikan protokol TLS
  • Ubah Tomcat untuk mendengarkan pada port 443
  • Uji Tomcat untuk kerentanan SSL

Ayo mulai…

Mempersiapkan Sertifikat SSL / TLS

Langkah pertama akan menghasilkan CSR dan mendapatkan yang ditandatangani oleh otoritas sertifikat. Kami akan menggunakan utilitas keytool untuk mengelola sertifikat.

  • Masuk ke server Tomcat
  • Pergi ke jalur instalasi kucing jantan
  • Buat folder bernama ssl
  • Jalankan perintah ke buat keystore

keytool -genkey -alias domainname -keyalg RSA -keysize 2048 -keystore filename.jks

Ada dua variabel dalam perintah di atas yang mungkin ingin Anda ubah.

  1. Alias ​​- lebih baik untuk membuatnya bermakna sehingga di masa depan Anda dapat dengan cepat mengenali. Saya lebih suka menyimpannya sebagai nama domain.
  2. Nama file – sekali lagi, ada baiknya menjaga nama domain.

Ex:

[[dilindungi email] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
Masukkan kata sandi keystore:
Masukkan kembali kata sandi baru:
Apa nama depan dan belakangmu?
[Tidak dikenal]: bloggerflare.com
Apa nama unit organisasi Anda?
[Tidak dikenal]: Blogging
Apa nama organisasi anda?
[Tidak Dikenal]: Geek Flare
Apa nama Kota atau Daerah Anda?
[Tidak dikenal]:
Apa nama Negara Bagian atau Provinsi Anda??
[Tidak dikenal]:
Apa kode negara dua huruf untuk unit ini?
[Tidak dikenal]:
Apakah CN = bloggerflare.com, OU = Blogging, O = Geek Flare, L = Tidak Diketahui, ST = Tidak Diketahui, C = Tidak Diketahui benar?
[Tidak iya

Masukkan kata sandi kunci untuk
(KEMBALI jika sama dengan kata sandi keystore):

[[dilindungi email] ssl] #

Perhatikan pertanyaan nama depan dan belakang. Ini agak menyesatkan saya pikir. Itu bukan nama Anda tetapi nama domain yang ingin Anda amankan.

Setelah Anda memberikan semua informasi, itu akan membuat file keystore pada direktori kerja saat ini.

Selanjutnya adalah menghasilkan CSR baru dengan keystore yang baru dibuat dengan perintah di bawah ini.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Ini akan membuat CSR yang perlu Anda kirim ke otoritas sertifikat untuk ditandatangani. Jika Anda bermain-main, maka Anda dapat mempertimbangkan untuk menggunakan penyedia sertifikat GRATIS yang lain untuk yang premium.

Saya telah menandatangani sertifikat dan akan melanjutkan ke impor keystore dengan perintah di bawah ini.

  • Impor sertifikat root diberikan oleh penyedia

keytool -importcert -alias root -file root -keystore bloggerflare.jks

  • Impor sertifikat perantara

keytool -importcert -alias intermediate -file intermediate -keystore bloggerflare.jks

Catatan: tanpa mengimpor root & perantara, Anda tidak akan dapat mengimpor sertifikat domain ke keystore. Jika Anda memiliki lebih dari satu perantara, maka Anda harus mengimpor semuanya.

  • Impor sertifikat domain

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

dan, Anda akan mendapatkan konfirmasi bahwa itu sudah diinstal.

Balasan sertifikat dipasang di keystore

Bagus, jadi keystore sertifikat siap sekarang. Mari kita lanjutkan ke langkah selanjutnya.

Jika Anda baru mengenal SSL dan tertarik untuk tahu lebih banyak maka daftarlah di kursus online ini – Operasi SSL / TLS.

Aktifkan SSL di Tomcat

Dengan asumsi Anda masih masuk ke server Tomcat, buka folder conf

  • Ambil cadangan file server.xml
  • Buka bagian dan tambahkan baris

SSLEnabled ="benar" skema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="Salah" sslProtocol ="TLS"

  • Jangan lupa untuk mengganti nama file dan kata sandi dengan Anda
  • Mulai ulang kucing jantan dan Anda akan melihat Tomcat dapat diakses melalui HTTPS

Manis!

Port HTTPS standar

Mengapa?

Nah, jika Anda melihat screenshot di atas, saya mengakses Tomcat lebih dari 8080 dengan https yang tidak standar dan beberapa alasan lagi.

  • Anda tidak ingin meminta pengguna untuk menggunakan port khusus
  • Browser akan memberikan peringatan ketika sertifikat dikeluarkan pada nama domain tanpa port

Jadi idenya adalah membuat Tomcat mendengarkan pada port 443 sehingga dapat diakses lebih dari https: // tanpa nomor port.

Untuk melakukannya, edit server.xml dengan editor favorit Anda

  • Pergi ke 
  • Ubah port dari 8080 menjadi 443
  • Seharusnya terlihat seperti ini
  • Mulai ulang Tomcat dan akses aplikasi Anda dengan https tanpa nomor port

Impresif, ini sukses!

Tes Kerentanan SSL / TLS

Terakhir, kami akan melakukan tes untuk memastikan tidak rentan terhadap ancaman online.

Ada banyak alat online yang saya diskusikan di sini, dan di sini saya akan menggunakan Labs SSL.

  • Pergi ke Lab SSL dan masukkan URL untuk memulai tes

Dan itu GREEN – Peringkat.

Namun, selalu merupakan ide bagus untuk menggulir ke bawah laporan dan melihat apakah Anda menemukan kerentanan dan memperbaikinya.

Jadi itu saja untuk hari ini.

Saya harap ini membantu Anda mengetahui prosedur mengamankan Tomcat dengan sertifikat SSL / TLS. Jika Anda tertarik untuk belajar lebih banyak maka saya akan sangat merekomendasikan ini tentu saja.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:

    Bagaimana cara mengimplementasikan SSL di Apache Tomcat?

    Panduan langkah demi langkah untuk mengatur sertifikat SSL / TLS di server Tomcat.


    Salah satu tugas penting untuk mengamankan Tomcat adalah mengkonfigurasi sertifikat SSL, sehingga aplikasi web dapat diakses HTTPS.

    Ada banyak cara untuk mencapai ini.

    • Anda dapat mengakhiri SSL di load balancer
    • Terapkan SSL di tingkat CDN
    • Gunakan server web seperti Apache, Nginx, dll. Di depan dan terapkan SSL di sana

    Namun, jika Anda tidak menggunakan salah satu di atas atau menggunakan ini sebagai front-end atau perlu menggunakan SSL langsung di Tomcat, maka hal berikut ini akan membantu Anda.

    Pada artikel ini, kami akan melakukan seperti di bawah ini.

    • Hasilkan CSR (Permintaan penandatanganan sertifikat)
    • Impor sertifikat dalam file keystore
    • Aktifkan SSL di Tomcat
    • Konfigurasikan protokol TLS
    • Ubah Tomcat untuk mendengarkan pada port 443
    • Uji Tomcat untuk kerentanan SSL

    Ayo mulai…

    Mempersiapkan Sertifikat SSL / TLS

    Langkah pertama akan menghasilkan CSR dan mendapatkan yang ditandatangani oleh otoritas sertifikat. Kami akan menggunakan utilitas keytool untuk mengelola sertifikat.

    • Masuk ke server Tomcat
    • Pergi ke jalur instalasi kucing jantan
    • Buat folder bernama ssl
    • Jalankan perintah ke buat keystore

    keytool -genkey -alias domainname -keyalg RSA -keysize 2048 -keystore filename.jks

    Ada dua variabel dalam perintah di atas yang mungkin ingin Anda ubah.

    1. Alias ​​- lebih baik untuk membuatnya bermakna sehingga di masa depan Anda dapat dengan cepat mengenali. Saya lebih suka menyimpannya sebagai nama domain.
    2. Nama file – sekali lagi, ada baiknya menjaga nama domain.

    Ex:

    [[dilindungi email] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
    Masukkan kata sandi keystore:
    Masukkan kembali kata sandi baru:
    Apa nama depan dan belakangmu?
    [Tidak dikenal]: bloggerflare.com
    Apa nama unit organisasi Anda?
    [Tidak dikenal]: Blogging
    Apa nama organisasi anda?
    [Tidak Dikenal]: Geek Flare
    Apa nama Kota atau Daerah Anda?
    [Tidak dikenal]:
    Apa nama Negara Bagian atau Provinsi Anda??
    [Tidak dikenal]:
    Apa kode negara dua huruf untuk unit ini?
    [Tidak dikenal]:
    Apakah CN = bloggerflare.com, OU = Blogging, O = Geek Flare, L = Tidak Diketahui, ST = Tidak Diketahui, C = Tidak Diketahui benar?
    [Tidak iya

    Masukkan kata sandi kunci untuk
    (KEMBALI jika sama dengan kata sandi keystore):

    [[dilindungi email] ssl] #

    Perhatikan pertanyaan nama depan dan belakang. Ini agak menyesatkan saya pikir. Itu bukan nama Anda tetapi nama domain yang ingin Anda amankan.

    Setelah Anda memberikan semua informasi, itu akan membuat file keystore pada direktori kerja saat ini.

    Selanjutnya adalah menghasilkan CSR baru dengan keystore yang baru dibuat dengan perintah di bawah ini.

    keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

    Ini akan membuat CSR yang perlu Anda kirim ke otoritas sertifikat untuk ditandatangani. Jika Anda bermain-main, maka Anda dapat mempertimbangkan untuk menggunakan penyedia sertifikat GRATIS yang lain untuk yang premium.

    Saya telah menandatangani sertifikat dan akan melanjutkan ke impor keystore dengan perintah di bawah ini.

    • Impor sertifikat root diberikan oleh penyedia

    keytool -importcert -alias root -file root -keystore bloggerflare.jks

    • Impor sertifikat perantara

    keytool -importcert -alias intermediate -file intermediate -keystore bloggerflare.jks

    Catatan: tanpa mengimpor root & perantara, Anda tidak akan dapat mengimpor sertifikat domain ke keystore. Jika Anda memiliki lebih dari satu perantara, maka Anda harus mengimpor semuanya.

    • Impor sertifikat domain

    keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

    dan, Anda akan mendapatkan konfirmasi bahwa itu sudah diinstal.

    Balasan sertifikat dipasang di keystore

    Bagus, jadi keystore sertifikat siap sekarang. Mari kita lanjutkan ke langkah selanjutnya.

    Jika Anda baru mengenal SSL dan tertarik untuk tahu lebih banyak maka daftarlah di kursus online ini – Operasi SSL / TLS.

    Aktifkan SSL di Tomcat

    Dengan asumsi Anda masih masuk ke server Tomcat, buka folder conf

    • Ambil cadangan file server.xml
    • Buka bagian dan tambahkan baris

    SSLEnabled ="benar" skema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="Salah" sslProtocol ="TLS"

    • Jangan lupa untuk mengganti nama file dan kata sandi dengan Anda
    • Mulai ulang kucing jantan dan Anda akan melihat Tomcat dapat diakses melalui HTTPS

    Manis!

    Port HTTPS standar

    Mengapa?

    Nah, jika Anda melihat screenshot di atas, saya mengakses Tomcat lebih dari 8080 dengan https yang tidak standar dan beberapa alasan lagi.

    • Anda tidak ingin meminta pengguna untuk menggunakan port khusus
    • Browser akan memberikan peringatan ketika sertifikat dikeluarkan pada nama domain tanpa port

    Jadi idenya adalah membuat Tomcat mendengarkan pada port 443 sehingga dapat diakses lebih dari https: // tanpa nomor port.

    Untuk melakukannya, edit server.xml dengan editor favorit Anda

    • Pergi ke 
    • Ubah port dari 8080 menjadi 443
    • Seharusnya terlihat seperti ini
    • Mulai ulang Tomcat dan akses aplikasi Anda dengan https tanpa nomor port

    Impresif, ini sukses!

    Tes Kerentanan SSL / TLS

    Terakhir, kami akan melakukan tes untuk memastikan tidak rentan terhadap ancaman online.

    Ada banyak alat online yang saya diskusikan di sini, dan di sini saya akan menggunakan Labs SSL.

    • Pergi ke Lab SSL dan masukkan URL untuk memulai tes

    Dan itu GREEN – Peringkat.

    Namun, selalu merupakan ide bagus untuk menggulir ke bawah laporan dan melihat apakah Anda menemukan kerentanan dan memperbaikinya.

    Jadi itu saja untuk hari ini.

    Saya harap ini membantu Anda mengetahui prosedur mengamankan Tomcat dengan sertifikat SSL / TLS. Jika Anda tertarik untuk belajar lebih banyak maka saya akan sangat merekomendasikan ini tentu saja.

    Jeffrey Wilson Administrator
    Sorry! The Author has not filled his profile.
    follow me
      Like this post? Please share to your friends:
      Adblock
      detector
      map