Hoe kan ek SSL implementeer in Apache Tomcat?

‘N Stap-vir-stap-gids om SSL / TLS-sertifikaat op die Tomcat-bediener op te stel.


Een van die belangrikste take vir die beveiliging van Tomcat is om die SSL-sertifikaat op te stel, sodat die webtoepassing toeganklik is HTTPS.

Daar is baie maniere om dit te bereik.

  • U kan SSL beëindig by ‘n lasbalanseerder
  • Implementeer SSL op CDN-vlak
  • Gebruik webbedieners soos Apache, Nginx, ensovoorts en implementeer SSL daar

As u egter nie een van bogenoemde gebruik nie, of dit as ‘n voorpunt gebruik of SSL direk in Tomcat moet ontplooi, sal die volgende u help.

In hierdie artikel doen ons soos hieronder.

  • Genereer CSR (sertifikaatondertekeningversoek)
  • Voer sertifikaat in ‘n sleutelstoorlêer in
  • Aktiveer SSL in Tomcat
  • Stel TLS-protokol op
  • Verander Tomcat om op 443-poort te luister
  • Toets Tomcat vir SSL-kwesbaarheid

Laat ons begin …

Voor te berei vir SSL / TLS-sertifikaat

Die eerste stap sou wees om ‘n CSR te genereer en dit te onderteken deur die sertifikaatowerheid. Ons gebruik keytoolhulpprogramme om die sertifikate te bestuur.

  • Teken in op die Tomcat-bediener
  • Gaan na die Tomcat-installasiepad
  • Skep ‘n lêergids met die naam ssl
  • Voer opdrag uit na skep ‘n sleutelwinkel

keytool -genkey -alias domainname -keyalg RSA -keysize 2048 -keystore filename.jks

Daar is twee veranderlikes in die opdragte hierbo wat u moontlik wil verander.

  1. Alias ​​- beter om dit sinvol te hou, sodat u in die toekoms vinnig kan herken. Ek verkies om dit as ‘n domeinnaam te hou.
  2. Lêernaam – dit is weer goed om die domeinnaam te behou.

ex:

[[Email protected] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
Voer sleutelwinkelwagwoord in:
Voer nuwe wagwoord weer in:
Wat is u voornaam en van??
[Onbekend]: bloggerflare.com
Wat is die naam van u organisasie-eenheid??
[Onbekend]: Blogging
Wat is die naam van u organisasie??
[Onbekend]: Geek Flare
Wat is die naam van u stad of u stad??
[Unknown]:
Wat is die naam van u staat of provinsie??
[Unknown]:
Wat is die landkode met twee letters vir hierdie eenheid??
[Unknown]:
Is CN = bloggerflare.com, OU = Blogging, O = Geek Flare, L = Onbekend, ST = Onbekend, C = Onbekend korrek?
[nee Ja

Sleutel wagwoord in vir
(RETURN as dieselfde as sleutelwinkelwagwoord):

[[Email protected] ssl] #

Gee aandag aan die voor- en vannaamvraag. Ek dink dit is ‘n bietjie misleidend. Dit is nie u naam nie, maar die domeinnaam wat u wil beveilig.

Sodra u al die inligting verstrek het, sal dit ‘n sleutelstoorlêer in ‘n huidige werkgids skep.

Volgende sou wees om genereer ‘n nuwe MVO met die nuutgemaakte sleutelstoor met onderopdrag.

keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks

Dit sal ‘n CSR skep wat u aan die sertifikaatowerheid moet stuur om dit onderteken te kry. As u hier rondspeel, kan u dit oorweeg om ‘n GRATIS sertifikaatverskaffer te gebruik, anders kan u ‘n premie kry.

Ek het die sertifikaat onderteken en sal voortgaan met voer in sleutelwinkel in met onderstaande opdrag.

  • Die invoer-wortelsertifikaat word deur die aanbieder gegee

keytool -importcert -alias root -File root -keystore bloggerflare.jks

  • Voer intermediêre sertifikaat in

keytool -importcert -alias intermediêr -File intermediêr -keystore bloggerflare.jks

nota: sonder om wortel in te voer & tussenganger, kan u nie domeinsertifikaat in sleutelwinkel invoer nie. As u meer as een middel het, moet u almal invoer.

  • Voer domeinsertifikaat in

keytool -importcert -File bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

en u sal ‘n bevestiging kry dat dit geïnstalleer is.

Sertifikaatantwoord is in sleutelwinkel geïnstalleer

groot, dus is die sleutelstoor van die sertifikaat nou gereed. Kom ons stap na die volgende stap.

As u nuut is by SSL en belangstel om meer te weet, skryf dan in vir hierdie aanlynkursus – SSL / TLS-bedrywighede.

Aktiveer SSL in Tomcat

As u aanvaar dat u steeds by die Tomcat-bediener aangemeld is, gaan na die conf map

  • Neem ‘n rugsteun van die server.xml-lêer
  • Gaan na die afdeling en voeg ‘n reël by

SSLEnabled ="waar" skema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="onwaar" sslProtocol ="TLS"

  • Moenie vergeet om die naam en wagwoord van die sleutelstoorlêer by u naam te verander nie
  • Herbegin tomcat en u moet sien dat Tomcat toeganklik is via HTTPS

Sweet!

Standaard HTTPS-poort

Hoekom?

Wel, as u na die kiekie hierbo kyk, kry ek toegang tot Tomcat meer as 8080 met https wat nie standaard is nie en nog meer redes.

  • U wil nie gebruikers vra om gepasmaakte poort te gebruik nie
  • Die blaaier sal ‘n waarskuwing gee sodra die sertifikaat sonder die poort op die domeinnaam uitgereik word

Die idee is dus om Tomcat op 443-poort te laat luister, sodat dit net oor https: // sonder die poortnommer toeganklik is.

Om dit te doen, wysig server.xml met u gunsteling redakteur

  • Gaan na 
  • Verander hawe van 8080 na 443
  • Dit moet so lyk
  • Herbegin Tomcat en verkry toegang tot u aansoek met https sonder enige poortnommer

indrukwekkende, dit is ‘n sukses!

SSL / TLS-kwesbaarheidstoets

Laastens sal ons ‘n toets uitvoer om te verseker dat dit nie kwesbaar is vir aanlynbedreigings nie.

Daar is baie aanlyn-instrumente wat ek hier bespreek het, en hier sal ek SSL Labs gebruik.

  • Gaan na SSL Labs en voer die URL in om met die toets te begin

En sy GROEN – ‘n Gradering.

Dit is egter altyd ‘n goeie idee om in die verslag af te blaai en te kyk of u enige kwesbaarhede opspoor en regstel.

So dit was alles vir vandag.

Ek hoop dit help u om die prosedure van die beveiliging van Tomcat met SSL / TLS-sertifikaat te ken. As u belangstel om meer te leer, sal ek dit sterk aanbeveel kursus.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map