چگونه SSL را در Apache Tomcat پیاده سازی کنیم؟

راهنمای گام به گام برای تنظیم گواهی SSL / TLS در سرور Tomcat.


یكی از وظایف اساسی برای تأمین امنیت Tomcat ، پیكربندی گواهی SSL است ، بنابراین برنامه وب از طریق آن قابل دسترسی است HTTPS.

برای رسیدن به این هدف روش های زیادی وجود دارد.

  • می توانید SSL را در یک بالانس فشار خاتمه دهید
  • SSL را در سطح CDN پیاده سازی کنید
  • از سرورهای وب مانند Apache ، Nginx و غیره در جلو استفاده کرده و SSL را در آنجا پیاده سازی کنید

با این حال ، اگر شما از هیچ یک از موارد فوق استفاده نمی کنید یا از این موارد به عنوان جلو استفاده می کنید یا نیاز به مستقر کردن SSL به طور مستقیم در Tomcat دارید ، موارد زیر به شما کمک می کند..

در این مقاله به شرح زیر خواهیم پرداخت.

  • تولید CSR (درخواست امضای گواهی)
  • گواهی وارد کردن در یک پرونده اصلی
  • SSL را در Tomcat فعال کنید
  • پروتکل TLS را پیکربندی کنید
  • Tomcat را برای گوش دادن به پورت 443 تغییر دهید
  • Tomcat را برای آسیب پذیری SSL آزمایش کنید

بیا شروع کنیم…

آماده شدن برای گواهی SSL / TLS

اولین قدم تولید CSR و دستیابی به امضای آن توسط صدور گواهی. برای مدیریت گواهینامه ها از ابزار keytool استفاده خواهیم کرد.

  • ورود به سرور Tomcat
  • به مسیر نصب tomcat بروید
  • پوشه ای بنام ssl ایجاد کنید
  • اجرای دستور به ایجاد یک فروشگاه اصلی

keytool -genkey -alias domain name -keyalg RSA -keysize 2048 -keystore filename.jks

در فرامین فوق دو متغیر وجود دارد که ممکن است بخواهید آنها را تغییر دهید.

  1. نام مستعار – بهتر است آن را معنی دار نگه دارید تا در آینده بتوانید به سرعت تشخیص دهید. من ترجیح می دهم آن را به عنوان یک نام دامنه نگه دارم.
  2. نام پرونده – دوباره ، خوب است که نام دامنه را حفظ کنید.

سابق:

[[ایمیل محافظت شده] ssl] # keytool -keykey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
گذرواژه اصلی را وارد کنید:
رمزعبور جدید را دوباره وارد کنید:
نام و نام خانوادگی شما چیست?
[ناشناخته]: bloggerflare.com
نام واحد سازمانی شما چیست؟?
[ناشناخته]: وبلاگ نویسی
نام سازمان شما چیست?
[ناشناخته]: Geek Flare
نام شهر یا محل شما چیست؟?
[ناشناس]:
نام استان یا استان شما چیست؟?
[ناشناس]:
کد کشور دو حرف برای این واحد چیست؟?
[ناشناس]:
آیا CN = bloggerflare.com ، OU = وبلاگ نویسی ، O = Geek Flare ، L = ناشناخته ، ST = ناشناخته ، C = ناشناخته صحیح است?
[خیر بله

رمزعبور کلید را وارد کنید
(اگر همان رمز عبور اصلی است ، بازگردید):

[[ایمیل محافظت شده] ssl] #

توجه کن به نام و نام خانوادگی سوال. فکر می کنم این کمی گمراه کننده است. این نام شما نیست بلکه نام دامنه ای است که می خواهید آن را امن کنید.

هنگامی که شما تمام اطلاعات را ارائه دادید ، یک فایل اصلی در یک فهرست کار فعلی ایجاد می کند.

بعد خواهد بود یک CSR جدید ایجاد کنید با کلید فروشی تازه ایجاد شده با دستور زیر.

keytool -certreq -alias bloggerflare -keyalg RSA -files bloggerflare.csr -keystore bloggerflare.jks

این یک CSR ایجاد می کند که برای امضای آن باید به مرجع گواهینامه ارسال کنید. اگر در حال بازی کردن هستید ، ممکن است در نظر داشته باشید که از یک ارائه دهنده مجوز رایگان استفاده کنید و دیگری را برای حق بیمه خریداری کنید.

گواهی امضا کردم و ادامه خواهم داد وارد کردن به فروشگاه اصلی با دستور زیر.

  • گواهی ریشه واردات توسط ارائه دهنده داده می شود

keytool -importcert -alias-file-root root -keystore bloggerflare.jks

  • گواهی واسطه را وارد کنید

keytool -importcert -alias intermediate-file intermediate -keystore bloggerflare.jks

توجه داشته باشید: بدون وارد کردن ریشه & واسطه ای ، شما نمی توانید گواهی دامنه را به فروشگاه اصلی وارد کنید. اگر بیش از یک واسطه دارید ، باید همه آنها را وارد کنید.

  • گواهی دامنه واردات

keytool -importcert -files bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

و تأیید نصب آن را دریافت خواهید کرد.

پاسخ گواهینامه در فروشگاه اصلی نصب شد

عالی, بنابراین فروشگاه اصلی مجوز اکنون آماده است. بیایید به مرحله بعدی برویم.

اگر تازه وارد SSL شده اید و علاقه مندید اطلاعات بیشتری کسب کنید ، در این دوره آنلاین ثبت نام کنید – عملیات SSL / TLS.

SSL را در Tomcat فعال کنید

با فرض اینکه هنوز وارد سرور Tomcat شده اید ، به پوشه Conf بروید

  • از فایل server.xml نسخه پشتیبان تهیه کنید
  • به بخش بروید و یک خط اضافه کنید

SSLEnabled ="درست است، واقعی" طرح ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="چانند" clientAuth ="نادرست" sslProtocol ="TLS"

  • فراموش نکنید که نام پرونده اصلی و رمزعبور را با خود تغییر دهید
  • Tomcat را مجدداً راه اندازی کنید و باید ببینید Tomcat از طریق HTTPS قابل دسترسی است

شیرین!

درگاه HTTPS استاندارد

چرا?

خوب ، اگر به عکس بالای صفحه نگاه کنید ، من با https بالای 8080 به Tomcat دسترسی دارم که استاندارد نیست و دلایل دیگری دارد.

  • شما نمی خواهید از کاربران بخواهید از درگاه سفارشی استفاده کنند
  • وقتی گواهی در نام دامنه بدون درگاه صادر می شود ، مرورگر هشدار می دهد

بنابراین ایده این است که Tomcat را به درگاه 443 گوش دهید تا بتوانید بیش از https: // بدون شماره پورت در دسترس باشید.

برای انجام این کار ، server.xml را با ویرایشگر مورد علاقه خود ویرایش کنید

  • قابل اعتماد و متخصص 
  • پورت را از 8080 به 443 تغییر دهید
  • می بایست شبیه به این باشه
  • Tomcat را مجدداً راه اندازی کنید و با https و بدون شماره پورت به برنامه خود دسترسی پیدا کنید

چشمگیر, این یک موفقیت است!

تست آسیب پذیری SSL / TLS

در آخر ، ما یک آزمایش را انجام خواهیم داد تا اطمینان حاصل شود که در برابر تهدیدات آنلاین آسیب پذیر نیست.

ابزارهای آنلاین زیادی وجود دارد که من در اینجا مورد بحث قرار داده ام ، و در اینجا از آزمایشگاه های SSL استفاده خواهم کرد.

و آن سبز – امتیاز.

با این حال ، همیشه ایده خوبی است که گزارش را بررسی کنید و ببینید آیا آسیب پذیری پیدا کرده اید و آن را برطرف می کنید.

امروز همین بود.

امیدوارم که این به شما کمک کند تا روش تضمین Tomcat را با گواهی SSL / TLS بدانید. اگر شما علاقه مند به یادگیری بیشتر هستید ، من این موضوع را اکیداً توصیه می کنم دوره.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map