Come implementare SSL in Apache Tomcat?

Una guida dettagliata per configurare il certificato SSL / TLS nel server Tomcat.


Una delle attività essenziali per la protezione di Tomcat è la configurazione del certificato SSL, quindi l’applicazione Web è accessibile tramite HTTPS.

Ci sono molti modi per raggiungere questo obiettivo.

  • È possibile terminare SSL in un bilanciamento del carico
  • Implementare SSL a livello di CDN
  • Usa server web come Apache, Nginx, ecc. Di fronte e implementa SSL lì

Tuttavia, se non si utilizza nessuno dei precedenti o non si utilizza questo come front-end o è necessario distribuire SSL direttamente in Tomcat, le seguenti informazioni ti aiuteranno.

In questo articolo, faremo come di seguito.

  • Genera CSR (richiesta di firma del certificato)
  • Importa certificato in un file keystore
  • Abilita SSL in Tomcat
  • Configura protocollo TLS
  • Cambia Tomcat per l’ascolto sulla porta 443
  • Prova Tomcat per la vulnerabilità SSL

Iniziamo…

Preparazione per il certificato SSL / TLS

Il primo passo sarebbe quello di generare un CSR e ottenere quello firmato dal autorità di certificazione. Useremo l’utilità keytool per gestire i certificati.

  • Accedi al server Tomcat
  • Vai al percorso di installazione di Tomcat
  • Crea una cartella chiamata ssl
  • Eseguire il comando su creare un keystore

keytool -genkey -alias domainname -keyalg RSA -keysize 2048 -keystore nomefile.jks

Esistono due variabili nei comandi sopra che potresti voler cambiare.

  1. Alias: meglio mantenerlo significativo in modo da poterlo riconoscere rapidamente in futuro. Preferisco tenerlo come nome di dominio.
  2. Nome file: di nuovo, è bene conservare il nome dominio.

Ex:

[[Email protected] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
Inserisci la password del keystore:
Reinserire la nuova password:
Qual è il tuo nome e cognome?
[Sconosciuto]: bloggerflare.com
Qual è il nome della tua unità organizzativa?
[Sconosciuto]: blog
Qual è il nome della tua organizzazione?
[Sconosciuto]: Geek Flare
Qual è il nome della tua città o località?
[Sconosciuto]:
Qual è il nome del tuo stato o provincia?
[Sconosciuto]:
Qual è il codice paese di due lettere per questa unità?
[Sconosciuto]:
CN = bloggerflare.com, OU = Blogging, O = Flare Geek, L = Sconosciuto, ST = Sconosciuto, C = Sconosciuto corretto?
[no sì

Immettere la password chiave per
(INVIO se uguale alla password del keystore):

[[Email protected] ssl] #

Prestare attenzione a la domanda per nome e cognome. Penso sia un po ‘fuorviante. Non è il tuo nome ma il nome di dominio che vuoi proteggere.

Una volta fornite tutte le informazioni, creerà un file di archivio chiavi in ​​una directory di lavoro presente.

Il prossimo sarebbe generare un nuovo CSR con il keystore appena creato con il comando seguente.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Ciò creerà un CSR che è necessario inviare all’autorità di certificazione per farlo firmare. Se stai giocando, allora potresti prendere in considerazione l’utilizzo di un fornitore di certificati GRATUITO altrimenti scegli uno premium.

Ho ottenuto il certificato firmato e procederò a importare nel keystore con il comando sotto.

  • Il certificato di importazione radice è fornito dal provider

keytool -importcert -alias root -file root -keystore bloggerflare.jks

  • Importa certificato intermedio

keytool -importcert -alias intermedio -file intermedio -keystore bloggerflare.jks

Nota: senza importare root & intermedio, non sarai in grado di importare il certificato di dominio nel keystore. Se hai più di un intermedio, devi importarli tutti.

  • Importa certificato di dominio

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

e riceverai una conferma che è stato installato.

La risposta al certificato è stata installata nel keystore

grande, quindi il keystore dei certificati è pronto ora. Passiamo al passaggio successivo.

Se non conosci SSL e sei interessato a saperne di più, iscriviti a questo corso online – Operazioni SSL / TLS.

Abilita SSL in Tomcat

Supponendo che tu sia ancora connesso al server Tomcat, vai alla cartella conf

  • Eseguire un backup del file server.xml
  • Vai alla sezione e aggiungi una linea

SSLEnabled ="vero" schema ="https" keystoreFile ="SSL / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="falso" sslProtocol ="TLS"

  • Non dimenticare di cambiare il nome e la password del file keystore con i tuoi
  • Riavvia Tomcat e dovresti vedere Tomcat è accessibile tramite HTTPS

Dolce!

Porta HTTPS standard

Perché?

Bene, se guardi lo screenshot sopra, accedo a Tomcat oltre 8080 con https che non è standard e alcuni altri motivi.

  • Non vuoi chiedere agli utenti di utilizzare la porta personalizzata
  • Il browser avviserà quando il certificato viene emesso sul nome di dominio senza la porta

Quindi l’idea è di far ascoltare Tomcat sulla porta 443 in modo che sia accessibile poco più di https: // senza il numero di porta.

Per fare ciò, modifica server.xml con il tuo editor preferito

  • Vai a 
  • Cambia porta da 8080 a 443
  • Dovrebbe sembrare come questo
  • Riavvia Tomcat e accedi all’applicazione con https senza alcun numero di porta

Degno di nota, è un successo!

Test di vulnerabilità SSL / TLS

Infine, eseguiremo un test per assicurarci che non sia vulnerabile alle minacce online.

Ci sono molti strumenti online di cui ho discusso qui, e qui userò SSL Labs.

E il suo VERDE – Una valutazione.

Tuttavia, è sempre una buona idea scorrere verso il basso il rapporto e vedere se trovi qualche vulnerabilità e risolverlo.

Quindi era tutto per oggi.

Spero che questo ti aiuti a conoscere la procedura di protezione di Tomcat con certificato SSL / TLS. Se sei interessato a saperne di più, lo consiglio vivamente corso.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map