Com implementar SSL a Apache Tomcat?

Una guia pas a pas per configurar el certificat SSL / TLS al servidor Tomcat.


Una de les tasques essencials per protegir Tomcat és configurar el certificat SSL, de manera que l’aplicació web sigui accessible HTTPS.

Hi ha moltes maneres d’aconseguir-ho.

  • Podeu acabar amb SSL en un equilibrador de càrrega
  • Implanta SSL a nivell de CDN
  • Utilitzeu servidors web com Apache, Nginx, etc., i implementeu allà SSL

Tanmateix, si no estàs utilitzant cap de les anteriors o està utilitzant com a front-end o si necessites implementar SSL directament a Tomcat, t’ajudarà el següent:.

En aquest article, farem el següent.

  • Generar CSR (sol·licitud de signatura del certificat)
  • Importa el certificat en un fitxer de botiga de claus
  • Activa SSL a Tomcat
  • Configura el protocol TLS
  • Canvia Tomcat per escoltar-lo al port 443
  • Prova Tomcat per detectar la vulnerabilitat de SSL

Comencem…

Preparació per al certificat SSL / TLS

El primer pas seria generar una RSC i aconseguir que la signés el autoritat de certificat. Utilitzarem la utilitat keytool per gestionar els certificats.

  • Inicieu la sessió al servidor de Tomcat
  • Aneu al camí d’instal·lació del tomcat
  • Creeu una carpeta anomenada ssl
  • Executeu l’ordre a crear una botiga de claus

keytool -genkey -alias domain domain -keyalg RSA -keysize 2048 -keystore filename.jks

Hi ha dues variables en les ordres anteriors que potser voldreu canviar.

  1. Àlies: és millor mantenir-lo significatiu i, en un futur, ho pugueu reconèixer ràpidament. Prefereixo conservar-lo com a nom de domini.
  2. Nom de fitxer: de nou, és bo conservar el nom de domini.

Ex:

[[correu electrònic protegit] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -teysize 2048 -keystore bloggerflare.jks
Introduïu la contrasenya del magatzem de claus:
Torneu a introduir la nova contrasenya:
Quin és el vostre nom i cognoms?
[Desconegut]: bloggerflare.com
Quin és el nom de la vostra unitat organitzativa?
[Desconegut]: Blogging
Quin és el nom de la vostra organització?
[Desconegut]: Flare Geek
Quin és el nom de la vostra ciutat o localitat?
[Desconegut]:
Quin és el nom del vostre estat o província?
[Desconegut]:
Quin és el codi de país de dues lletres d’aquesta unitat?
[Desconegut]:
És CN = bloggerflare.com, OU = Blogging, O = Flare Geek, L = Desconegut, ST = Desconegut, C = Desconegut correcte?
[no Sí

Introduïu la contrasenya de la clau principal per a
(RETORNE si és la mateixa que la contrasenya del magatzem de claus):

[[correu electrònic protegit] ssl] #

Para atenció a el primer i el cognom pregunta. Crec que és una mica enganyós. No és el vostre nom, sinó el nom de domini que voleu protegir.

Un cop proporcioneu tota la informació, crearà un fitxer de botigues de claus en un directori de treball actual.

El següent seria generar una nova RSC amb la nova botiga de claus amb comanda inferior.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Això crearà una RSC que heu d’enviar a l’autoritat de certificat per obtenir-la. Si esteu jugant, potser podeu considerar l’ús d’un proveïdor de certificat GRATU elseT per altres.

Tinc el certificat signat i passaré a importar a botiga de claus amb comandament a sota.

  • El proveïdor els proporciona el certificat d’arrel d’importació

keytool -importcert -alias root -file root -keystore bloggerflare.jks

  • Importa el certificat intermedi

keytool -importcert -alias intermediar -file intermedi -keystore bloggerflare.jks

Nota: sense importar root & intermediari, no podreu importar el certificat de domini a keystore. Si teniu més d’un intermediari, heu d’importar-les totes.

  • Certificat de domini d’importació

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

i obtindreu una confirmació de la instal·lació.

La resposta del certificat es va instal·lar al magatzem de claus

Genial, així que el magatzem de claus de certificat ja està a punt. Passem al següent pas.

Si ets nou a SSL i estàs interessat en saber-ne més, inscriviu-vos en aquest curs en línia. Operacions SSL / TLS.

Activa SSL a Tomcat

Si suposeu que encara esteu connectat al servidor Tomcat, aneu a la carpeta Conf

  • Feu una còpia de seguretat del fitxer server.xml
  • Vés a la secció i afegeix una línia

SSLEnabled ="cert" esquema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="fals" sslProtocol ="TLS"

  • No oblideu canviar el nom i la contrasenya del fitxer de botiga de claus amb el vostre
  • Reinicieu tomcat i haureu de veure que Tomcat sigui accessible mitjançant HTTPS

Dolç!

Port HTTPS estàndard

Per què?

Bé, si ens fixem en la captura de pantalla de dalt, estic accedint a Tomcat més de 8080 amb https que no és estàndard i alguns motius més.

  • No voldreu demanar als usuaris que utilitzin port personalitzat
  • El navegador avisarà ja que el certificat s’emet al nom de domini sense el port

Per tant, la idea és que Tomcat escolti el port 443, de manera que sigui accessible una mica més de https: // sense el número de port.

Per fer-ho, editeu server.xml amb l’editor favorit

  • Anar a 
  • Canvia el port des del 8080 al 443
  • Hauria de quedar així
  • Reinicieu Tomcat i accedeix a la vostra aplicació amb https sense cap número de port

Impressionant, és un èxit!

Prova de vulnerabilitat SSL / TLS

Finalment, realitzarem un test per assegurar-nos que no sigui vulnerable a les amenaces en línia.

Hi ha moltes eines en línia que he comentat aquí, i aquí faré servir SSL Labs.

  • Anar a Labs SSL i introduïu l’URL per començar la prova

I la seva VERD: una qualificació.

No obstant això, sempre és bona idea desplaçar-se per l’informe i veure si trobeu alguna vulnerabilitat i solucionar-lo.

Així doncs, tot va ser per avui.

Espero que això us ajudi a conèixer el procediment per protegir Tomcat amb certificat SSL / TLS. Si us interessa aprendre més, us ho recomano molt per descomptat.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map