Kako implementirati SSL u Apache Tomcat?

Detaljni vodič za postavljanje SSL / TLS certifikata na Tomcat poslužitelju.


Jedan od bitnih zadataka osiguranja Tomcat-a je konfiguriranje SSL certifikata tako da je web aplikacija dostupna preko HTTPS.

Mnogo je načina da se to postigne.

  • SSL možete prekinuti na izravnom opterećenju
  • Provedite SSL na razini CDN-a
  • Koristite web poslužitelje poput Apache, Nginx itd. Ispred i implementirajte SSL tamo

Međutim, ako nešto od navedenog ne upotrebljavate ili ovo koristite kao prednji dio ili trebate direktno implementirati SSL u Tomcat, tada će vam sljedeće pomoći.

U ovom ćemo članku postupiti kao u nastavku.

  • Stvorite CSR (zahtjev za potpisivanje potvrde)
  • Uvezi certifikat u datoteku trgovina ključeva
  • Omogući SSL u Tomcatu
  • Konfigurirajte TLS protokol
  • Promijenite Tomcat za slušanje na 443 port
  • Ispitajte Tomcat na SSL ranjivost

Počnimo…

Priprema za SSL / TLS certifikat

Prvi bi korak bio generirati DOP i dobiti potpise ovlaštenje za certifikate. Za upravljanje potvrdama koristit ćemo uslužni program keytool.

  • Prijavite se na Tomcat poslužitelj
  • Idite na put instalacije tomcat
  • Stvorite mapu koja se zove ssl
  • Izvršite naredbu za stvorite trgovinu ključeva

keytool -genkey -alias ime domene -keyalg RSA -kisize 2048 -keystore filename.jks

Postoje dvije varijable u gornjim naredbama koje možda želite promijeniti.

  1. Pseudonim – bolje ga održavati smislom kako biste ga u budućnosti mogli brzo prepoznati. Radije ga čuvam kao naziv domene.
  2. Naziv datoteke – opet, dobro je zadržati naziv domene.

ex:

[[E zaštićeni] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -kisize 2048 -keystore bloggerflare.jks
Unesite lozinku za pohranu ključeva:
Ponovno unesite novu zaporku:
Koje je tvoje ime i prezime?
[Nepoznato]: bloggerflare.com
Kako se zove vaša organizacijska jedinica?
[Nepoznato]: Blogging
Kako se zove vaša organizacija?
[Nepoznato]: Geek Flare
Kako se zove vaš grad ili lokalitet?
[Nepoznata]:
Kako se zove vaša država ili provincija?
[Nepoznata]:
Koji je dvoslovni kod države za ovu jedinicu?
[Nepoznata]:
Je CN = bloggerflare.com, OU = blogging, O = Geek Flare, L = nepoznato, ST = nepoznato, C = nepoznato točno?
[ne da

Unesite ključnu lozinku za
(POVRATAK ako je isto kao lozinka za pohranu ključeva):

[[E zaštićeni] SSL] #

Obrati pozornost na pitanje prezimena i prezimena. Mislim da je ovo pomalo zabluda. To nije vaše ime već naziv domene koji želite osigurati.

Nakon što unesete sve podatke, stvorit će se datoteka pohranjivanja ključeva u postojećoj radnoj mapi.

Sljedeće bi bilo generiraju novi CSR s novostvorenom prodavaonicom ključeva s naredbom dolje.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Time će se stvoriti CSR koji morate poslati nadležnom certifikatu kako bi ga potpisali. Ako se igrate, možda biste razmotrili da BESPLATNI davatelj certifikata ide za premium.

Potpisao sam potvrdu i nastavit ću dalje uvesti u trgovinu ključeva s naredbom dolje.

  • Uvozni korijenski certifikat daje dobavljač

keytool -importcert -alias root -file root -keystore bloggerflare.jks

  • Uvoz srednjeg certifikata

keytool -importcert -alias intermediate -file intermediate -keystore bloggerflare.jks

Bilješka: bez uvoza root & intermedijarni, nećete moći uvoziti potvrdu domene u skladište ključeva. Ako imate više posrednika, morate ih sve uvesti.

  • Uvezi potvrdu domene

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

i, dobit ćete potvrdu da je instalirana.

Odgovor potvrde instaliran je u prodavaonici ključeva

Sjajno, pa je trgovina s ključevima certifikata spremna. Prijeđimo na sljedeći korak.

Ako ste novi na SSL-u i želite znati više, upišite se na ovaj internetski tečaj – Operacije SSL / TLS.

Omogući SSL u Tomcatu

Pod pretpostavkom da ste i dalje prijavljeni na Tomcat poslužitelj, idite na mapu conf

  • Uzmi sigurnosnu kopiju datoteke server.xml
  • Idite na odjeljak i dodajte liniju

SSLEnabled ="pravi" shema ="https" keystoreFile ="SSL / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="lažan" sslProtocol ="TLS"

  • Ne zaboravite promijeniti ime i lozinku datoteke za pohranu ključeva
  • Ponovo pokrenite tomcat i trebali biste vidjeti da je Tomcat dostupan putem HTTPS-a

slatko!

Standardni HTTPS port

Zašto?

Pa, ako pogledate gornju snimku zaslona, ​​pristupam Tomcatu preko 8080 sa https-om što nije standardno i još nekim razlozima.

  • Ne želite tražiti od korisnika da koriste prilagođeni port
  • Preglednik će upozoriti jer se certifikat izdaje na ime domene bez priključka

Dakle, ideja je omogućiti Tomcatu da sluša 443 priključak tako da je dostupan samo preko https: // bez broja porta.

Da biste to učinili, uredite server.xml s omiljenim uređivačem

  • Ići 
  • Promijenite port s 8080 na 443
  • To bi trebalo izgledati ovako
  • Ponovo pokrenite Tomcat i pristupite svojoj aplikaciji s https-om bez ikakvog broja porta

Impresivan, to je uspjeh!

SSL / TLS test ranjivosti

Napokon, napravit ćemo test kako bismo osigurali da nije ranjiv na internetskim prijetnjama.

Postoji mnogo internetskih alata o kojima sam ovdje raspravljao, a ovdje ću koristiti SSL laboratorije.

I je ZELENA – ocjena.

No, dobra je ideja pomaknuti se prema izvješću i vidjeti je li ranjivost i popraviti je.

Dakle, to je bilo sve za danas.

Nadam se da će vam ovo pomoći da znate postupak osiguranja Tomcat SSL / TLS certifikatom. Ako ste zainteresirani za učenje više, ovo bih vam toplo preporučio tečaj.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map