Kaip įdiegti SSL „Apache Tomcat“?

Žingsnis po žingsnio, kaip nustatyti SSL / TLS sertifikatą „Tomcat“ serveryje.


Viena iš būtinų Tomcat apsaugos užduočių yra SSL sertifikato konfigūravimas, kad žiniatinklio programa būtų prieinama per HTTPS.

Yra daugybė būdų, kaip tai pasiekti.

  • Galite nutraukti SSL naudodami apkrovos balansavimo įrenginį
  • Įdiekite SSL CDN lygiu
  • Naudokite žiniatinklio serverius, tokius kaip „Apache“, „Nginx“ ir kt., Ir ten įdiekite SSL

Tačiau, jei nenaudojate nė vieno iš aukščiau išvardytų elementų arba naudojate tai kaip pagrindinę versiją arba jums reikia diegti SSL tiesiogiai „Tomcat“, tada jums padės.

Šiame straipsnyje mes darysime taip, kaip nurodyta toliau.

  • Generuoti CSR (sertifikato pasirašymo užklausa)
  • Importuokite sertifikatą į klavišų saugyklos failą
  • Įgalinti SSL „Tomcat“
  • Konfigūruokite TLS protokolą
  • Pakeiskite „Tomcat“ ir klausykitės 443 prievado
  • Patikrinkite „Tomcat“, ar nėra SSL pažeidžiamumo

Pradėkime…

Pasiruošimas SSL / TLS sertifikatui

Pirmasis žingsnis būtų sukurti CSR ir gauti, kad ją pasirašytų pažymėjimo institucija. Pažymėjimams valdyti naudosime klaviatūros įrankius.

  • Prisijungimas prie „Tomcat“ serverio
  • Eikite į „Tomcat“ įrengimo kelią
  • Sukurkite aplanką pavadinimu ssl
  • Vykdyti komandą sukurti klavišų parduotuvę

klaviatūra -genkey -alias domeno vardas -keyalg RSA -keysize 2048 -raktų saugyklos failo vardas.jks

Aukščiau pateiktose komandose yra du kintamieji, kuriuos galite pakeisti.

  1. Slapyvardis – geriau išlaikyti jį prasmingą, kad ateityje galėtumėte greitai jį atpažinti. Geriau laikyti jį domeno vardu.
  2. Failo vardas – vėlgi, gerai laikyti domeno vardą.

Pvz .:

[[apsaugotas el. paštu] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -raktų dydis 2048 -raktų parduotuvė bloggerflare.jks
Įveskite klaviatūros slaptažodį:
Iš naujo įveskite naują slaptažodį:
Koks tavo vardas ir pavardė??
[Nežinoma]: bloggerflare.com
Koks jūsų organizacijos padalinio pavadinimas??
[Nežinoma]: internetiniai dienoraščiai
Koks jūsų organizacijos pavadinimas??
[Nežinoma]: Geek Flare
Koks jūsų miesto ar vietovės pavadinimas??
[Nežinoma]:
Koks yra jūsų valstijos ar provincijos vardas??
[Nežinoma]:
Koks yra šio vieneto dviejų raidžių šalies kodas?
[Nežinoma]:
Ar CN = bloggerflare.com, OU = dienoraščiai, O = Geek Flare, L = nežinoma, ST = nežinoma, C = nežinoma, teisinga?
[ne taip

Įveskite pagrindinį slaptažodį
(GRĮŽTI, jei tas pats, kaip raktų saugyklos slaptažodis):

[[apsaugotas el. paštu] ssl] #

Atkreipkite dėmesį į vardo ir pavardės klausimas. Manau, kad tai šiek tiek klaidina. Tai ne jūsų vardas, o domeno vardas, kurį norite apsaugoti.

Pateikę visą informaciją, dabartiniame aplanke bus sukurtas klavišų kaupimo failas.

Kitas būtų sugeneruoti naują CSR naudodamiesi naujai sukurta klaviatūra su žemiau esančia komanda.

keytool -certreq -alias bloggerflare -keyalg RSA -fail bloggerflare.csr -keystore bloggerflare.jks

Tai sukurs CSR, kurią turite nusiųsti sertifikato institucijai, kad ji pasirašytų. Jei jūs žaidžiate aplinkui, tuomet galite apsvarstyti galimybę naudoti NEMOKAMĄ sertifikatų teikėją, jei norite įsigyti papildomą.

Gavau pažymėjimą pasirašytą ir eisiu toliau importuoti į raktų parduotuvę su žemiau esančia komanda.

  • Importuoti šakninį sertifikatą suteikia teikėjas

keytool -importcert -alias root – failo root – raktų saugykla bloggerflare.jks

  • Importuoti tarpinį sertifikatą

keytool -importcert -alias tarpinis -fail tarpinis -keystore bloggerflare.jks

Pastaba: neimportuojant šaknies & tarpinis, negalėsite importuoti domeno pažymėjimo į raktų saugyklą. Jei turite daugiau nei vieną tarpinę medžiagą, turite importuoti jas visas.

  • Importuoti domeno sertifikatą

keytool -importcert -fail bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

ir gausite patvirtinimą, kad ji buvo įdiegta.

Pažymėjimo atsakymas buvo įdiegtas raktų saugykloje

Puiku, Taigi sertifikatų raktų saugykla yra paruošta. Pereikime prie kito žingsnio.

Jei dar nesate prisijungę prie SSL ir norite sužinoti daugiau, užsiregistruokite į šį internetinį kursą – SSL / TLS operacijos.

Įgalinti SSL „Tomcat“

Darant prielaidą, kad vis dar esate prisijungę prie „Tomcat“ serverio, eikite į aplanką conf

  • Padarykite server.xml failo atsarginę kopiją
  • Eikite į skyrių ir pridėkite eilutę

SSLEnable ="tiesa" schema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandanas" clientAuth ="melagingas" sslProtocol ="TLS"

  • Nepamirškite pakeisti klaviatūros failo pavadinimo ir slaptažodžio
  • Paleiskite „Tomcat“ iš naujo ir turėtumėte pamatyti, kad „Tomcat“ galima pasiekti per HTTPS

Saldus!

Standartinis HTTPS prievadas

Kodėl?

Na, jei pažvelgsite į aukščiau pateiktą ekrano kopiją, aš prieinu Tomcat virš 8080 su https, kuris nėra standartinis, ir dar keletas priežasčių.

  • Nenorite prašyti vartotojų naudoti pasirinktinį prievadą
  • Naršyklė įspės, kai sertifikatas išduodamas domeno varde be prievado

Taigi idėja yra priversti „Tomcat“ klausytis per 443 prievadą, kad jis būtų pasiekiamas tik per https: // be prievado numerio.

Norėdami tai padaryti, redaguokite server.xml naudodami mėgstamą redaktorių

  • Eiti į 
  • Pakeiskite prievadą nuo 8080 iki 443
  • Tai turėtų atrodyti taip
  • Iš naujo paleiskite „Tomcat“ ir pasiekite savo programą naudodami „https“ be jokio prievado numerio

Įspūdinga, tai sėkmė!

SSL / TLS pažeidžiamumo testas

Galiausiai atliksime testą, kad įsitikintume, jog jis nėra pažeidžiamas internetinių grėsmių.

Yra daugybė internetinių įrankių, kuriuos čia aptariau, ir čia aš naudosiu SSL laboratorijas.

Ir tai ŽALIAS – įvertinimas.

Tačiau visada gera idėja slinkti ataskaita žemyn ir sužinoti, ar radote pažeidžiamumą, ir ją ištaisyti.

Taigi tai buvo viskas šiandienai.

Tikiuosi, kad tai padės jums žinoti Tomcat apsaugojimo SSL / TLS sertifikatu tvarką. Jei jus domina daugiau sužinoti, aš labai rekomenduoju tai žinoma.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map