כיצד ליישם SSL באפצ’י טומקט?

מדריך צעד אחר צעד להגדרת אישור SSL / TLS בשרת Tomcat.


אחת המשימות החיוניות לאבטחת Tomcat היא קביעת תצורת אישור SSL, כך שיישום האינטרנט נגיש HTTPS.

ישנן דרכים רבות להשיג זאת.

  • ניתן לסיים את ה- SSL במאזן עומסים
  • הטמיע SSL ברמת CDN
  • השתמש בשרתי אינטרנט כמו אפאצ ‘י, נגינקס וכו’ מלפנים ויישם שם SSL

עם זאת, אם אינך משתמש באחד מהאפשרויות המפורטות לעיל או משתמש בזה כקצה קדמי או שאתה צריך לפרוס SSL ישירות ב- Tomcat, אז הדברים הבאים יעזרו לך.

במאמר זה, נעשה כמו להלן.

  • צור CSR (בקשת חתימה על אישור)
  • ייבא אישור בקובץ חנות מפתחות
  • אפשר SSL ב- Tomcat
  • הגדר פרוטוקול TLS
  • שנה את טומקט להאזנה ביציאה 443
  • בדוק את Tomcat לגבי פגיעות SSL

בואו נתחיל…

מתכונן לתעודת SSL / TLS

הצעד הראשון יהיה לייצר CSR ולקבל את החתימה על ידי ה- רשות אישורים. אנו נשתמש בכלי השירות keytool לניהול האישורים.

  • התחבר לשרת Tomcat
  • עבור אל נתיב ההתקנה של tomcat
  • צור תיקיה בשם ssl
  • בצע פקודה אל צור חנות מקשים

keytool -genkey -alias domainname -keyalg RSA -keyize 2048 -keystore filename.jks

ישנם שני משתנים בפקודות שלמעלה, שתרצה לשנות.

  1. כינוי – עדיף לשמור על זה משמעות כך שבעתיד תוכלו לזהות במהירות. אני מעדיף לשמור את זה כשם תחום.
  2. שם קובץ – שוב, זה טוב לשמור על שם הדומיין.

דוגמה:

[[מוגן בדוא”ל] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keyize 2048 -keystore bloggerflare.jks
הזן סיסמת שמירת מפתח:
הזן מחדש סיסמה חדשה:
מה שם פרטי ושם משפחה?
[לא ידוע]: bloggerflare.com
מה שם היחידה הארגונית שלך?
[לא ידוע]: בלוגים
מה שם הארגון שלך?
[לא ידוע]: התלקחות חנון
מה שם העיר או היישוב שלך?
[לא ידוע]:
מה שם המדינה או המחוז שלך?
[לא ידוע]:
מהו קוד המדינה הדו-אותיות עבור יחידה זו?
[לא ידוע]:
האם CN = bloggerflare.com, OU = בלוגים, O = התלקחות חנון, L = לא ידוע, ST = לא ידוע, C = לא ידוע נכון?
[לא כן

הזן סיסמת מפתח עבור
(RETURN אם זהה לסיסמת שמירת המפתח):

[[מוגן בדוא”ל] ssl] #

שים לב ל השאלה הפרטית ושם המשפחה. זה קצת מטעה לדעתי. זה לא שמך אלא שם התחום שברצונך לאבטח.

לאחר שתמסור את כל המידע, היא תיצור קובץ של חנות מפתחות בספריית העבודה הנוכחית.

הבא יהיה ל ליצור CSR חדש עם חנות המפתח החדשה שנוצרה עם הפקודה למטה.

keytool -certreq -alias bloggerflare -keyalg RSA -File bloggerflare.csr -keystore bloggerflare.jks

פעולה זו תיצור CSR שאתה צריך לשלוח לרשות האישורים כדי להחתים אותו. אם אתה משחק סביבך, אתה יכול לשקול להשתמש בספק תעודות בחינם, אחרת תמלא פרמיה אחת.

קיבלתי את האישור ונמשיך יבוא לחנות המפתח עם הפקודה למטה.

  • הספק מספק ייבוא ​​שורש ייבוא

keytool -importcert -alias root -File root -keystore bloggerflare.jks

  • ייבא תעודת ביניים

keytool -importcert -alias intermediate -File intermediate -keystore bloggerflare.jks

פתקללא יבוא שורש & ביניים, לא תוכל לייבא תעודת דומיין לחנות המפתח. אם יש לך יותר מביניים אחד, אתה צריך לייבא את כולם.

  • ייבא תעודת דומיין

keytool -importcert -File bloggerflare.cer -keystore bloggerflare.jks -alias Bloggerflare

ותקבל אישור שהוא הותקן.

תשובת האישורים הותקנה בחנות המפתחות

גדול, כך שחנות המפתח האישור מוכנה כעת. נעבור לשלב הבא.

אם אתה חדש ב- SSL ומעוניין לדעת יותר, הירשם לקורס מקוון זה – פעולות SSL / TLS.

אפשר SSL ב- Tomcat

בהנחה שאתה עדיין מחובר לשרת Tomcat, עבור לתיקיית conf

  • קח גיבוי של קובץ server.xml
  • עבור לקטע והוסף שורה

SSLEnabled ="נכון" סכמה ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="צ’נדן" clientAuth ="שקר" sslProtocol ="TLS"

  • אל תשכח לשנות את שם הקובץ ואת הסיסמה שלך
  • הפעל מחדש את tomcat ואתה אמור לראות את Tomcat נגיש דרך HTTPS

מתוק!

יציאת HTTPS רגילה

למה?

ובכן, אם אתה מסתכל על המסך שלמעלה, אני ניגש לטומקט מעל 8080 עם https שאינו סטנדרטי ועוד כמה סיבות.

  • אינך רוצה לבקש ממשתמשים להשתמש ביציאה מותאמת אישית
  • הדפדפן ייתן אזהרה מכיוון שהאישור מונפק על שם התחום ללא היציאה

אז הרעיון הוא לגרום לטומקט להאזין בנמל 443 כך שיהיה נגיש מעט יותר מ- https: // ללא מספר היציאה.

לשם כך, ערוך את server.xml באמצעות העורך המועדף עליך

  • לך ל 
  • שנה את היציאה מ- 8080 ל- 443
  • זה אמור להיראות כך
  • הפעל מחדש את Tomcat וגש ליישום שלך באמצעות https ללא מספר יציאה

מרשימים, זו הצלחה!

מבחן פגיעות SSL / TLS

לבסוף, נבצע בדיקה כדי להבטיח שהיא אינה חשופה לאיומים מקוונים.

ישנם כלים מקוונים רבים עליהם דנתי כאן, וכאן אשתמש במעבדות SSL.

  • לך ל מעבדות SSL והזן את כתובת האתר כדי להתחיל במבחן

וזהו ירוק – דירוג.

עם זאת, זה תמיד רעיון טוב לגלול במורד הדו”ח ולראות אם אתה מוצא פגיעות כלשהי ולתקן אותה.

אז זה היה הכל להיום.

אני מקווה שזה יעזור לך לדעת את הנוהל של אבטחת Tomcat עם תעודת SSL / TLS. אם אתם מעוניינים ללמוד יותר אז אני ממליץ לכם בחום כמובן.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map