Как да внедрите SSL в Apache Tomcat?

Стъпка по стъпка ръководство за настройка на SSL / TLS сертификат в Tomcat сървъра.


Една от съществените задачи за осигуряване на Tomcat е конфигурирането на SSL сертификат, така че уеб приложението да е достъпно HTTPS.

Има много начини да се постигне това.

  • Можете да прекратите SSL при балансиращ товар
  • Внедрете SSL на ниво CDN
  • Използвайте уеб сървъри като Apache, Nginx и т.н. отпред и внедрете SSL там

Ако обаче не използвате нещо от гореизброените или използвате това като предна част или трябва да внедрите SSL директно в Tomcat, следното ще ви помогне.

В тази статия ще направим както по-долу.

  • Генериране на КСО (заявка за подписване на сертификат)
  • Импортиране на сертификат във файл с хранилище за ключове
  • Активирайте SSL в Tomcat
  • Конфигурирайте TLS протокол
  • Сменете Tomcat, за да слушате на 443 порт
  • Тествайте Tomcat за SSL уязвимост

Да започваме…

Подготовка за SSL / TLS сертификат

Първата стъпка ще бъде да се генерира CSR и да се подпише от сертификатен орган. Ще използваме помощната програма keytool за управление на сертификатите.

  • Влезте в сървъра на Tomcat
  • Отидете на пътя за инсталиране на tomcat
  • Създайте папка, наречена ssl
  • Изпълнете команда до създайте магазин за ключове

keytool -genkey -alias име на домейн -keyalg RSA -размер 2048 -keystore filename.jks

В горните команди има две променливи, които може да искате да промените.

  1. Псевдоним – по-добре да го поддържате смислен, за да може в бъдеще бързо да го разпознаете. Предпочитам да го запазя като име на домейн.
  2. Име на файла – отново е добре да запазите името на домейна.

Ex:

[[Имейл защитен] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keyysize 2048 -keystore bloggerflare.jks
Въведете парола за магазина:
Въведете нова парола:
Какво е вашето име и фамилия?
[Неизвестно]: bloggerflare.com
Какво е името на вашата организационна единица?
[Неизвестно]: Блог
Какво е името на вашата организация?
[Неизвестно]: Geek Flare
Какво е името на вашия град или населено място?
[Файл]:
Какво е името на вашата държава или провинция?
[Файл]:
Какъв е двубуквеният код на държавата за тази единица?
[Файл]:
CN = bloggerflare.com, OU = Blogging, O = Geek Flare, L = неизвестно, ST = неизвестно, C = неизвестно правилно?
[Не Да

Въведете парола за ключ за
(ВРЪЩА се, ако е същата като паролата за съхранение на ключове):

[[Имейл защитен] SSL] #

Обръщам внимание на въпросът с името и фамилията. Това е малко подвеждащо според мен. Не е вашето име, а името на домейна, което искате да защитите.

След като предоставите цялата информация, тя ще създаде файл за съхраняване на ключове в съществуваща работна директория.

Следваща ще бъде генерира нов CSR с новосъздадения магазин за ключове с команда отдолу.

keytool -certreq -alias bloggerflare -keyalg RSA -файл bloggerflare.csr -keystore bloggerflare.jks

Това ще създаде CSR, което трябва да изпратите на сертифициращия орган, за да го подпишете. Ако играете наоколо, тогава можете да помислите да използвате БЕЗПЛАТЕН доставчик на сертификати иначе да отидете за премиум.

Подписах сертификата и ще продължа към импортиране в ключодържател с команда отдолу.

  • Импортирането на root сертификат се дава от доставчика

keytool -importcert -alias root -file root -keystore bloggerflare.jks

  • Внос на междинен сертификат

keytool -importcert -alias междинен -файл междинен -keystore bloggerflare.jks

Забележка: без импортиране на root & междинно, няма да можете да импортирате сертификат за домейн в хранилището на ключове. Ако имате повече от един междинен продукт, трябва да ги импортирате всички.

  • Импортиране на сертификат за домейн

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

и ще получите потвърждение, че е инсталиран.

Отговорът на сертификата беше инсталиран в магазина за ключове

Страхотен, така че магазинът на сертификати за ключове е готов вече. Да преминем към следващата стъпка.

Ако сте новак в SSL и се интересувате да научите повече, запишете се в този онлайн курс – SSL / TLS операции.

Активирайте SSL в Tomcat

Ако приемем, че все още сте влезли в сървъра на Tomcat, отидете на папка conf

  • Вземете резервно копие на файла server.xml
  • Отидете на раздел и добавете ред

SSLEnabled ="вярно" схема ="HTTPS" keystoreFile ="SSL / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="фалшив" sslProtocol ="TLS"

  • Не забравяйте да промените името и паролата на файла на хранилището на ключове с вашите
  • Рестартирайте tomcat и трябва да видите, че Tomcat е достъпен през HTTPS

Сладка!

Стандартен HTTPS порт

Защо?

Е, ако погледнете по-горе екрана, аз осъществявам достъп до Tomcat над 8080 с https, което не е стандартно и още няколко причини.

  • Не искате да искате от потребителите да използват потребителски порт
  • Браузърът ще предупреди, тъй като сертификатът се издава за име на домейн без порта

Така че идеята е да накарате Tomcat да слуша на 443 порт, така че да е достъпен малко над https: // без номера на порта.

За целта редактирайте server.xml с любимия си редактор

  • Отидете на 
  • Промяна на порт от 8080 на 443
  • Трябва да изглежда така
  • Рестартирайте Tomcat и получите достъп до приложението си с https без никакъв номер на порт

внушителен, това е успех!

SSL / TLS тест за уязвимост

Накрая ще извършим тест, за да гарантираме, че той не е уязвим за заплахите онлайн.

Има много онлайн инструменти, които обсъдих тук и тук ще използвам SSL Labs.

И е ЗЕЛЕН – Оценка.

Въпреки това винаги е добра идея да превъртите доклада и да видите дали откривате някаква уязвимост и да я поправите.

Това беше всичко за днес.

Надявам се това да ви помогне да знаете процедурата за обезопасяване на Tomcat със SSL / TLS сертификат. Ако се интересувате да научите повече, силно бих препоръчал това курс.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map