Ako implementovať SSL v Apache Tomcat?

Podrobný sprievodca nastavením certifikátu SSL / TLS na serveri Tomcat.


Jednou zo základných úloh zabezpečenia Tomcat je konfigurácia certifikátu SSL, takže webová aplikácia je prístupná cez HTTPS.

Existuje veľa spôsobov, ako to dosiahnuť.

  • SSL môžete ukončiť na vyrovnávači zaťaženia
  • Implementujte SSL na úrovni CDN
  • V prednej časti použite webové servery ako Apache, Nginx atď. A tam implementujte SSL

Ak však nepoužívate nič z vyššie uvedeného alebo ho nepoužívate ako klientske rozhranie alebo potrebujete nasadiť protokol SSL priamo v spoločnosti Tomcat, nasledujúce informácie vám pomôžu.

V tomto článku urobíme nasledujúce kroky.

  • Generovať CSR (žiadosť o podpísanie certifikátu)
  • Importujte certifikát do súboru skladu kľúčov
  • Povoliť SSL v Tomcat
  • Konfigurácia protokolu TLS
  • Zmeňte Tomcata na počúvanie na 443 porte
  • Otestujte zraniteľnosť servera Tomcat kvôli SSL

Začnime…

Príprava na certifikát SSL / TLS

Prvým krokom by bolo vygenerovať správu o chemickej bezpečnosti a dostať ju podpísanú certifikačná autorita. Na správu certifikátov použijeme nástroj keytool.

  • Prihláste sa na server Tomcat
  • Prejdite na inštalačnú cestu kocúra
  • Vytvorte priečinok s názvom ssl
  • Vykonajte príkaz do vytvoriť sklad kľúčov

keytool -genkey -alias názov_domény -keyalg RSA -keysize 2048 -keystore filename.jks

Vo vyššie uvedených príkazoch sú dve premenné, ktoré môžete zmeniť.

  1. Alias ​​- lepšie ho udržať zmysluplným, aby ste ho v budúcnosti mohli rýchlo rozpoznať. Radšej si ho ponechám ako názov domény.
  2. Názov súboru – opäť je dobré ponechať si doménové meno.

ex:

[[Email protected] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
Zadajte heslo úložiska kľúčov:
Znovu zadajte nové heslo:
Aké je vaše meno a priezvisko?
[Neznáme]: bloggerflare.com
Aký je názov vašej organizačnej jednotky?
[Neznáme]: Blogovanie
Aký je názov vašej organizácie?
[Neznáme]: Geek Flare
Ako sa volá vaše mesto alebo lokalita?
[Neznáme]:
Aký je názov vášho štátu alebo provincie?
[Neznáme]:
Aký je dvojmiestny kód krajiny pre túto jednotku?
[Neznáme]:
Je CN = bloggerflare.com, OU = Blogovanie, O = Geek Flare, L = Neznáme, ST = Neznáme, C = Neznáme správne?
[nie ano

Zadajte kľúčové heslo pre
(RETURN, ak je to isté ako heslo úložiska kľúčov):

[[Email protected] ssl] #

Dávaj pozor na otázka na meno a priezvisko. Myslím si, že je to trochu zavádzajúce. Nie je to vaše meno, ale doménové meno, ktoré chcete zabezpečiť.

Po zadaní všetkých informácií sa v súčasnom pracovnom adresári vytvorí súbor úložiska kľúčov.

Ďalej by bolo vygenerovať nový CSR pomocou novovytvoreného skladu kľúčov s príkazom nižšie.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Takto sa vytvorí správa o chemickej bezpečnosti, ktorú musíte poslať certifikačnej autorite, aby bola podpísaná. Ak hráte okolo, môžete zvážiť použitie poskytovateľa certifikátov ZDARMA, aby ste šli za prémiovým.

Mám certifikát podpísaný a budem pokračovať importovať do skladu kľúčov s pod príkazom.

  • Importovať koreňový certifikát poskytuje poskytovateľ

keytool -importcert -alias root-root file -keystore bloggerflare.jks

  • Importovať prechodný certifikát

keytool -importcert -alias stredne pokročilý -soubor stredne pokročilý -keystore bloggerflare.jks

Poznámka: bez importu root & medziprodukt, nebudete môcť importovať certifikát domény do skladu kľúčov. Ak máte viac ako jedného sprostredkovateľa, musíte ich všetky importovať.

  • Importovať certifikát domény

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

a dostanete potvrdenie, že bol nainštalovaný.

Odpoveď na certifikát bola nainštalovaná v úložisku kľúčov

skvelý, takže sklad kľúčov certifikátov je teraz pripravený. Poďme k ďalšiemu kroku.

Ak ste novým v SSL a chcete vedieť viac, zapíšte sa do tohto online kurzu – Operácie SSL / TLS.

Povoliť SSL v Tomcat

Ak ste stále prihlásení na server Tomcat, prejdite do priečinka conf

  • Vytvorte zálohu súboru server.xml
  • Prejdite do sekcie a pridajte riadok

SSLEnabled ="pravdivý" schéma ="https" keystoreFile ="SSL / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="nepravdivý" sslProtocol ="TLS"

  • Nezabudnite zmeniť svoje meno a heslo pre súbor s kľúčovým slovom
  • Reštartujte kocoura a mali by ste vidieť, že Tomcat je prístupný cez HTTPS

sladký!

Štandardný port HTTPS

prečo?

Ak sa pozriete na vyššie uvedenú snímku obrazovky, pristupujem k Tomcat nad 8080 pomocou protokolu https, čo nie je štandard a niektoré ďalšie dôvody.

  • Nechcete, aby používatelia požadovali používanie vlastného portu
  • Prehliadač zobrazí upozornenie, pretože certifikát sa vydáva na názov domény bez portu

Ide teda o to, aby Tomcat počúval na 443 porte, aby bol prístupný cez https: // bez čísla portu.

Ak to chcete urobiť, upravte server.xml pomocou svojho obľúbeného editora

  • Ísť do 
  • Zmeňte port z 8080 na 443
  • Malo by to vyzerať takto
  • Reštartujte Tomcat a získajte prístup k svojej aplikácii pomocou protokolu https bez čísla portu

pôsobivý, je to úspech!

Test zraniteľnosti SSL / TLS

Nakoniec vykonáme test, aby sme sa uistili, že nie je zraniteľný voči online hrozbám.

Existuje veľa online nástrojov, o ktorých som hovoril tu, a tu budem používať laboratóriá SSL.

A jeho ZELENÁ – Hodnotenie.

Je však vždy dobré posúvať sa v zostave nadol a zistiť, či sa vyskytla nejaká zraniteľnosť a opraviť ju.

Takže to pre dnešok bolo všetko.

Dúfam, že vám to pomôže poznať postup zabezpečenia spoločnosti Tomcat pomocou certifikátu SSL / TLS. Ak máte záujem dozvedieť sa viac, veľmi odporúčam kurz.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map