Kako implementirati SSL v Apache Tomcat?

Navodila po korakih za nastavitev SSL / TLS certifikata na strežniku Tomcat.


Ena od bistvenih nalog za zavarovanje Tomcat-a je konfiguriranje SSL certifikata, tako da je spletna aplikacija dostopna prek HTTPS.

Obstaja veliko načinov, kako to doseči.

  • SSL lahko prekinete z ravnotežjem obremenitve
  • Uvedite SSL na ravni CDN
  • Spredaj uporabljajte spletne strežnike, kot so Apache, Nginx itd., In tam implementirajte SSL

Če pa ne uporabljate nič od naštetega ali pa tega uporabljate kot sprednji del ali morate namestiti SSL neposredno v Tomcatu, vam bo naslednje pomagalo.

V tem članku bomo storili kot spodaj.

  • Ustvari CSR (zahtevek za podpis potrdila)
  • Uvozi potrdilo v datoteko za shranjevanje ključev
  • Omogoči SSL v Tomcatu
  • Konfigurirajte protokol TLS
  • Spremenite Tomcat za poslušanje na 443 pristanišču
  • Preizkusite Tomcat na ranljivost SSL

Začnimo…

Priprava na SSL / TLS certifikat

Prvi korak bi bil ustvariti CSR in ga podpisati certifikacijski organ. Za upravljanje potrdil bomo uporabili pripomoček keytool.

  • Prijavite se v strežnik Tomcat
  • Pojdite na pot namestitve tomcat
  • Ustvari mapo z imenom ssl
  • Izvedi ukaz ustvarite trgovino s ključi

keytool -genkey -alias domena -keyalg RSA-velikost 2048 -keystore filename.jks

V zgornjih ukazih sta dve spremenljivki, ki jih morda želite spremeniti.

  1. Vzdevek – bolje, da je smiselno, da ga boste v prihodnosti hitro prepoznali. Raje ga hranim kot ime domene.
  2. Ime datoteke – še enkrat, dobro je obdržati ime domene.

Primer:

[[zaščitena e-pošta] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -kisize 2048 -keystore bloggerflare.jks
Vnesite geslo za shranjevanje ključev:
Ponovno vnesite novo geslo:
Kakšno je tvoje ime in priimek?
[Neznano]: bloggerflare.com
Kako je ime vaše organizacijske enote?
[Neznano]: Bloganje
Kako se imenuje vaša organizacija?
[Neznano]: Geek Flare
Kako se imenuje vaše mesto ali kraj?
[Neznano]:
Kako se imenuje vaša država ali provinca?
[Neznano]:
Kakšna je dvočrkovna koda države za to enoto?
[Neznano]:
Ali je CN = bloggerflare.com, OU = blogging, O = Geek Flare, L = neznano, ST = neznano, C = neznano pravilno?
[ne da

Vnesite ključno geslo za
(Vrnitev, če je isto kot geslo za shranjevanje ključev):

[[zaščitena e-pošta] ssl] #

Bodi pozoren na vprašanje priimka in priimka. To je malo zavajajoče. To ime ni vaše ime, ampak ime domene.

Ko boste posredovali vse podatke, bo ustvaril datoteko za shranjevanje ključev v sedanjem delovnem imeniku.

Naslednja bi bila ustvarite nov CSR z novo ustvarjeno trgovino s ključi z ukazom spodaj.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Tako boste ustvarili CSR, ki ga morate poslati organu za potrdila, da ga lahko podpišete. Če se igrate naokoli, boste morda želeli, da ponudnik BREZPLAČNIH certifikatov greste še za premium.

Potrdilo sem podpisal in bom nadaljeval uvoz v trgovino s ključi z ukazom spodaj.

  • Uvozi korensko potrdilo poda ponudnik

keytool -importcert -alias root -file root -keystore bloggerflare.jks

  • Uvozi vmesno potrdilo

keytool -importcert -alias vmesni -file intermediate -keystore bloggerflare.jks

Opomba: brez uvoza root & vmesnega certifikata domene ne boste mogli uvoziti v skladišče ključev. Če imate več kot en vmesni izdelek, jih morate uvoziti vsi.

  • Uvozi potrdilo domene

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

in dobili boste potrditev, da je bila nameščena.

Odgovor potrdila je bil nameščen v trgovini s ključi

Super, zato je trgovina s ključi potrdil zdaj pripravljena. Pojdimo na naslednji korak.

Če niste novi SSL in želite vedeti več, se vpišite na ta spletni tečaj – Operacije SSL / TLS.

Omogoči SSL v Tomcatu

Ob predpostavki, da ste še vedno prijavljeni v Tomcat strežnik, pojdite na mapo conf

  • Vzemite varnostno kopijo datoteke server.xml
  • Pojdite na razdelek in dodajte vrstico

SSLEnabled ="prav" shema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="lažno" sslProtocol ="TLS"

  • Ne pozabite spremeniti imena datoteke in gesla datoteke za shranjevanje ključev
  • Znova zaženite tomcat in videli bi, da je Tomcat dostopen prek HTTPS

Sladko!

Standardna vrata HTTPS

Zakaj?

No, če pogledate zgornji posnetek zaslona, ​​dostopam do Tomcat-a nad 8080 s https, kar ni standardno in še nekaj razlogov.

  • Ne želite prositi uporabnikov, da uporabljajo vrata po meri
  • Brskalnik bo opozoril, ko se izda potrdilo o imenu domene brez vrat

Ideja je, da Tomcat prisluhne poslušanju na 443 vratih, tako da je dostopen prek https: // brez številke vrat.

To naredite tako, da uredite server.xml s svojim najljubšim urejevalnikom

  • Pojdi do 
  • Spremeni vrata z 8080 na 443
  • To bi moralo izgledati tako
  • Znova zaženite Tomcat in dostopajte do svoje aplikacije s https brez številke vrat

Impresivno, je uspeh!

SSL / TLS test ranljivosti

Končno bomo izvedli test, da zagotovimo, da ni ranljiv za spletne grožnje.

Obstaja veliko spletnih orodij, o katerih sem razpravljal tukaj, in tukaj bom uporabil SSL Labs.

In to je ZELENA – ocena.

Vendar je vedno dobra ideja, da se pomaknete po poročilu navzdol in vidite, če najdete ranljivost in jo odpravite.

Tako je bilo vse za danes.

Upam, da vam bo to pomagalo poznati postopek zavarovanja Tomcat s SSL / TLS certifikatom. Če vas zanima kaj več, vam toplo priporočam seveda.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map