Kuidas rakendada SSL-i Apache Tomcatis?

Samm-sammuline juhend SSL / TLS-sertifikaadi seadistamiseks Tomcat-serverisse.


Üks olulisi ülesandeid Tomcati turvalisuse tagamiseks on SSL-sertifikaadi konfigureerimine, nii et veebirakendusele pääseb juurde HTTPS.

Selle saavutamiseks on palju võimalusi.

  • SSL-i saate lõpetada koormuse tasakaalustajal
  • Rakendage SSL CDN-i tasemel
  • Kasutage ees veebiservereid nagu Apache, Nginx jne ja rakendage seal SSL

Kui te aga ei kasuta mõnda eelnimetatut või kasutate seda kasutajaliidesena või peate SSL-i juurutama otse Tomcatis, aitab teid järgmine.

Selles artiklis teeme järgmist.

  • Genereeri CSR (sertifikaadi allkirjastamistaotlus)
  • Impordi sertifikaat võtmehoidla failis
  • Luba Tomcatis SSL
  • TLS-protokolli seadistamine
  • Muutke Tomcat kuulamiseks 443-pordil
  • Testige Tomcat SSL-i haavatavuse suhtes

Alustame…

SSL / TLS-sertifikaadi ettevalmistamine

Esimene samm oleks CSR-i loomine ja selle allkirjastamine sertifikaadiasutus. Sertifikaatide haldamiseks kasutame utiliiti Keytool.

  • Sisselogimine Tomcat serverisse
  • Minge tomcadi installiteele
  • Looge kaust nimega ssl
  • Käivitage käsk luua võtmehoidja

keytool -genkey -alias domeeninimi -keyalg RSA -võtme suurus 2048-võtmehoidja failinimi.jks

Ülaltoodud käskudes on kaks muutujat, mida võiksite muuta.

  1. Pseudonüüm – parem hoida see tähendusrikkana, et tulevikus saaksite selle kiiresti ära tunda. Eelistan hoida seda domeeninimena.
  2. Failinimi – jällegi on hea domeeninime säilitada.

Näide:

[[e-posti aadress on kaitstud] ssl] # võtmehoidja -genkey -alias bloggerflare -keyalg RSA -võtme suurus 2048 -klahvipood bloggerflare.jks
Sisestage võtmehoidja parool:
Sisestage uus parool uuesti:
Mis on su ees- ja perekonnanimi?
[Teadmata]: bloggerflare.com
Mis on teie organisatsiooni üksuse nimi??
[Tundmatu]: ajaveeb
Mis on teie organisatsiooni nimi??
[Tundmatu]: Geek Flare
Mis on teie linna või paikkonna nimi??
[Teadmata]:
Mis on teie osariigi või provintsi nimi??
[Teadmata]:
Mis on selle üksuse kahetäheline riigikood?
[Teadmata]:
Kas CN = bloggerflare.com, OU = ajaveeb, O = Geek Flare, L = teadmata, ST = tundmatu, C = teadmata õige?
[ei]: jah

Sisestage võtme parool
(RETURN, kui sama kui võtmehoidja parool):

[[e-posti aadress on kaitstud] ssl] #

Pööra tähelepanu ees- ja perekonnanime küsimus. See on minu arvates natuke eksitav. See pole teie nimi, vaid domeeninimi, mida soovite kaitsta.

Kui olete kogu teabe esitanud, loob see praeguses töökataloogis võtmehoidlate faili.

Järgmine oleks genereerida uus CSR äsja loodud võtmehoidjaga, mille käsk on allpool.

keytool -certreq -alias bloggerflare -keyalg RSA -fail bloggerflare.csr -klahvipood bloggerflare.jks

Sellega luuakse CSR, mille peate allkirjastamiseks saatma sertifikaadiasutusele. Kui mängite ringi, siis võiksite kaaluda TASUTA sertifikaatide pakkuja kasutamist.

Sain sertifikaadi allkirjastatud ja jätkan import võtmehoidlasse allpool käsuga.

  • Juursertifikaadi impordi annab pakkuja

keytool -importcert -alias root – faili root – võtmehoidja bloggerflare.jks

  • Vahesertifikaadi importimine

keytool -importcert -alias vahepealne -fail vahe-võtmepood bloggerflare.jks

Märge: ilma juure importimata & vahepealne, ei saa te domeeni sertifikaati võtmehoidlasse importida. Kui teil on rohkem kui üks vaheaine, siis peate need kõik importima.

  • Impordi domeeni sertifikaat

keytool -importcert -fail bloggerflare.cer -võtmepood bloggerflare.jks -alias bloggerflare

ja saate kinnituse selle installimise kohta.

Sertifikaadi vastus installiti võtmehoidlasse

Suurepärane, nii et sertifikaatide võtmehoidja on nüüd valmis. Liigume järgmise sammu juurde.

Kui olete SSL-i uus kasutaja ja soovite rohkem teada saada, registreeruge sellel veebikursusel – SSL / TLS operatsioonid.

Luba Tomcatis SSL

Eeldades, et olete endiselt Tomcati serverisse sisse logitud, minge conf-kausta

  • Varundage fail server.xml
  • Minge jaotisse ja lisage rida

SSLE lubatud ="tõsi" skeem ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="vale" sslProtocol ="TLS"

  • Ärge unustage muuta võtmehoidja faili nime ja parooli koos omaga
  • Taaskäivitage tomcat ja peaksite nägema, et Tomcat on juurdepääsetav HTTPS-i kaudu

Magus!

Tavaline HTTPS-port

Miks?

Noh, kui vaadata ülaltoodud ekraanipilti, siis pääsen Tomcat’ile üle 8080 https-iga, mis pole standard ja veel mõned põhjused.

  • Te ei soovi, et kasutajad kasutaksid kohandatud porti
  • Brauser annab hoiatuse, kui sertifikaat antakse domeeninimele ilma pordita

Nii et idee on panna Tomcat kuulama 443-pordil, nii et see oleks juurdepääsetav lihtsalt üle https: // ilma pordinumbrita.

Selleks redigeerige server.xml oma lemmikredaktoriga

  • Minema 
  • Pordi muutmine 8080-lt 443-le
  • See peaks välja nägema selline
  • Taaskäivitage Tomcat ja avage oma rakendus https-iga ilma pordinumbrita

Muljetavaldav, see on edu!

SSL / TLS haavatavuse test

Lõpuks viime läbi testi, et veenduda, et see pole Interneti-ohtude suhtes haavatav.

Siin on palju veebitööriistu, millest ma siin rääkisin, ja siin hakkan kasutama SSL Labsi.

  • Minema SSL Labs ja sisestage testi alustamiseks URL

Ja selle ROHELINE – hinnang.

Siiski on alati hea mõte aruanne alla kerida ja vaadata, kas leiate turvaauke ja see parandada.

Nii oli see tänaseks päevaks kõik.

Loodetavasti aitab see teil teada saada, kuidas Tomcat SSL / TLS-sertifikaadiga turvatakse. Kui teil on huvi rohkem teada saada, soovitaksin seda tungivalt muidugi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map