основные шаги, чтобы трафик с томкатом был шифрованным / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / основные шаги, чтобы трафик с томкатом был шифрованным

15 сообщений из 15, страница 1 из 1

основные шаги, чтобы трафик с томкатом был шифрованным

#32469574

dalai lamer

Участник

Сообщения: 813

Рейтинг: 0 / 0

уважаемые старшие коллеги!

тут промелькнул интересный пост от Грасоффа, но я не успел в него позадавать вопросы...

мне нужно, чтобы трафик с клиентом был шифрованным. при этом не нужен фирменный сертификат thawte и т.п. что мне нужно написать?

1) в сервлете - этот сервлет должен отвечать и по обычному, и по шифрованному каналу (url-pattern у него "/"). Что мне в нем написать, чтобы он на определенные урлы (он знает, как отличить) не отвечал по нешифрованному каналу, а на другие отвечал? есть такая фишка - getAuthType . Что оно мне вернет, если сервлет будет вызван по адресу https://тратата/третете?

1а) достаточно ли будет этой информации, чтобы определить, шифрованный ли трафик, или это будет просто индикацией того, что было набрано https, а трафик вовсе необязательно будет зашифрован?

2) в web.xml - чтобы сервер tomcat (standalone) стал отвечать на https:// ?

3) нужно ли будет делать там всякие сертификаты и т.п., хотя мне идентификация не так важна, как просто шифрование?

4) еще там что-то про органы пугают - мол, запрещено больше скоко-то там бит шифровать - это правда? кому какая разница, какие я байты туда-сюда по сети гоняю? ;)

...

Рейтинг:

0 / 0

05.04.2004, 18:06

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32469614

Грасоff

Участник

Сообщения: 1 119

Рейтинг: 0 / 0

а это не то?

http://jakarta.apache.org/tomcat/tomcat-4.1-doc/ssl-howto.html

...

Рейтинг:

0 / 0

05.04.2004, 18:29

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32469624

dalai lamer

Участник

Сообщения: 813

Рейтинг: 0 / 0

читал, но не понял ответ на вопросы 1, 1а, 4 :)

вопросы 2 и 3 вроде там описаны... но хотелось бы по русски..

...

Рейтинг:

0 / 0

05.04.2004, 18:34

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32469648

Грасоff

Участник

Сообщения: 1 119

Рейтинг: 0 / 0

х.з. как пункт номер 4, но мы используем и никто не мешает... хотя у нас 128 бит...

...

Рейтинг:

0 / 0

05.04.2004, 18:52

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32469653

Грасоff

Участник

Сообщения: 1 119

Рейтинг: 0 / 0

а остальное завтра...
хотя со связкой ссл + томкэт не все понятно.. на одном серваке без проблем, на другом - редиректа нет на ссл-ный порт, на другом даже ссл-ный порт не пашет... и х.з. почему...

...

Рейтинг:

0 / 0

05.04.2004, 18:57

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32469966

softy

Участник

Откуда: from Russia

Сообщения: 5 924

Рейтинг: 0 / 0

Я использую tomcat в связке с apache. Tomcat использую только как контейнер сервлетов. Поэтому шифрованием занимается исключительно apache.

...

Рейтинг:

0 / 0

06.04.2004, 09:00

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32470019

sanek842

Участник

Откуда: Тюмень

Сообщения: 1 395

Рейтинг: 0 / 0

to softbuilder@inbox.ru
также!
решил пойти по такому же пути :)

...

Рейтинг:

0 / 0

06.04.2004, 09:28

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32470064

Грасоff

Участник

Сообщения: 1 119

Рейтинг: 0 / 0

softbuilder@inbox.ruЯ использую tomcat в связке с apache. Tomcat использую только как контейнер сервлетов. Поэтому шифрованием занимается исключительно apache.

а у нас так не хотят... у нас все на томкат вешается - потом тормозит все это... а нормально реализовать ssl + tomcat пока не удалось :)

...

Рейтинг:

0 / 0

06.04.2004, 10:03

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32472621

dalai lamer

Участник

Сообщения: 813

Рейтинг: 0 / 0

Грасоff

у нас тоже так! обешал рассказать в двух словах, а то совсем не скем посоветоваться по-русски...

как getAuthType работает в реализации томката, и в ту ли сторону я копаю, чтобы определить шифрованность трафика?

правильно ли я понял, что без изготовления файлика сертификата не обойтись? я его сам делаю и делаю его доступным для скачивания броузером или как?

ну и про web-xml - буквально пару слов, а то от спецификаций в глазах рябит... а дальше уж я сам

...

Рейтинг:

0 / 0

07.04.2004, 18:20

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32472659

Грасоff

Участник

Сообщения: 1 119

Рейтинг: 0 / 0

делай раз :)\r
\r
tomcat-users.xml - добавляем\r
\r

Код: plaintext

<role rolename= "motherfucker" />\r
<user username= "mother"  password= "fucker"  roles= "motherfucker" />

\r
\r
делай два :)\r
\r
server.xml - добавляем то, что уменя тут написано:\r
\r
/topic/85082\r
\r
обрати внимание на секцию\r
\r

Код: plaintext

<Factory className= "org.apache.coyote.tomcat4.CoyoteServerSocketFactory"  clientAuth= "false"  keystoreFile= "d:/Program Files/Apache Tomcat 4 . 1 /bin/cert.keystore" protocol= "TLS"  keystorePass= "changePassword" />

\r
\r
в частности атрибуты keystoreFile, keystorePass.\r
\r
теперь - %JAVA_HOME%/bin/keytool.exe с параметрами\r
\r

Код: plaintext

-genkey -alias tomcat -keyalg RSA

\r
\r
это генерит сертификат, можно указать его имя и куда класть. и пароль также. т.е. те самые атрибуты keystoreFile, keystorePass.\r
\r
дальше. web.xml приложения (который в WEB-INF/): добавляем - \r
\r

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

   <security-constraint>\r
      <web-resource-collection>\r
         <web-resource-name>Protected Resource</web-resource-name>\r
         <url-pattern>/*</url-pattern>\r
      </web-resource-collection>\r
      <auth-constraint>\r
         <role-name>motherfucker</role-name>\r
      </auth-constraint>\r
   </security-constraint>\r
   <login-config>\r
      <auth-method>BASIC</auth-method>\r
      <realm-name>Motherfucker Authentication</realm-name>\r
   </login-config>

\r
\r
это мы говорим, что все ресурсы по шаблону /* будут требовать BASIC-авторизации.\r
\r
кладем для примера index.jsp:\r
\r

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.

<html>\r
<head>\r
 <title>nostradamus test</title>\r
<head>\r
<body>\r
 you are logged as <b><%= request.getUserPrincipal().getName() %></b>\r
\r
 <font size= "4 " color= "blue" >security information:</font><br/>\r
 user principal: <b><%= request.getUserPrincipal().getName() %></b>.<br/>\r
 user name: <b><%= request.getRemoteUser() %></b>.<br/>\r
 request authenticated with: <b><%= request.getAuthType() %></b>.<br/>\r
<% if(request.isSecure()) { %>\r
 this connection is <b>secure</b>.<br/>\r
<% } else { %>\r
 this connection is <b>not secure</b>.<br/>\r
<% } %>\r
<p>\r
 remote addr: <b><%= request.getServerName() %></b><br/>\r
 remote host: <b><%= request.getRemoteHost() %></b><br/>\r
 remote addr: <b><%= request.getRemoteAddr() %></b>\r
<p>\r
<% if (request.isUserInRole( "motherfucker" )) { %>\r
 you\'re in <i><b>motherfucker</b></i> role<br/>\r
<% } %>\r
</p>\r
\r
</body>\r
<html>

\r
\r
томкэт.рестарт()\r
\r
пытаемся зайти на https://localhost:8443/\r
\r
получаем сначала - эксплорер говорит что какой-то сертификат непонятный. говорим - да. происходит BASIC-авторизация. если логин/пароль (mother/fucker) указаны правильно видим index.jsp\r
\r
нормально рассказал?

...

Рейтинг:

0 / 0

07.04.2004, 18:51

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32472708

dalai lamer

Участник

Сообщения: 813

Рейтинг: 0 / 0

да, нормально! гораздо яснее! спасибо!\r
\r
только вот у меня пароли с логинам хранятся в базе, а также урлы, у которых надо проверять, или не надо проверять логин пароль. все вызовы перенаправляются на один сервлет.\r
\r
я парсю урл, потом в базе смотрю, надо ли проверять пароль. если надо, и он не передан, посылаю unauthorized. броузер показывает окошко, и т.п.. в твоем примере томкат все это делает за нас.\r
\r
если я напишу\r
\r

Код: plaintext

<web-resource-name>Protected Resource</web-resource-name>\r
         <url-pattern>/*</url-pattern>

\r
\r
броузер всегда будет показывать окошко?\r
\r
поскольку я нестандартно делаю, поэтому меня интересуют внутренности этого дела. например, очень может быть, что request.isSecure показывает "истина" на основе того, что урл попадает в шаблон, указанный в security-constraint / web-resource-collection.\r
\r
я не смогу добавить шаблон /* в этот web-resource-collection, если броузер всегда будет показывать окошко. будет ли мне isSecure врать, если я сделаю так?:\r
\r
- проверяю урл, если он должен быть секурным, проверяю: isSecure? если да, то проверяю пароль и тд.\r
- если не isSecure, то выдаю unauthorized (как вариант, делаю redirect)\r
\r
:)\r
\r
\r
допустим, так можно. теперь все что мне осталось сделать, это сделаю в веб.ксмль так, и сервер будет со страшной силой все шифровать, что к нему будет приходить на порт 8085 с префиксом https??\r
\r
кстати, и где указана длина ключа (128)?

...

Рейтинг:

0 / 0

07.04.2004, 19:21

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32472789

тщшк

Гость

request.isSecure() спасёт отца русской демократии. При правильной настройке SSL (в админке или server.xml ставим аттрибут secure=true соответствующему коннектору.)

...

Рейтинг:

0 / 0

07.04.2004, 20:50

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32472965

softy

Участник

Откуда: from Russia

Сообщения: 5 924

Рейтинг: 0 / 0

автор=Грасоff а у нас так не хотят... у нас все на томкат вешается - потом тормозит все это... а нормально реализовать ssl + tomcat пока не удалось :)

Скажу больше - в целях повышенной безопасности и производительности, tomcat у меня разнесён на две машины. Первая машина - это apache и модуль tomcat. А контейнер сервлетов на другой машине, где находится БД. Таким образом ко второй машине с БД открыт доступ только для tomcat от первой машины. А tomcat меж собой общается по своему протоколу.

...

Рейтинг:

0 / 0

08.04.2004, 08:37

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32476134

dalai lamer

Участник

Сообщения: 813

Рейтинг: 0 / 0

тщшк

спасибо, буду пробывать isSecure

и Грасоff спасибо конечно, когда все на одной странице гораздо понятнее

...

Рейтинг:

0 / 0

09.04.2004, 18:59

| Ответить | Цитировать | Написать

основные шаги, чтобы трафик с томкатом был шифрованным

#32477718

dalai lamer

Участник

Сообщения: 813

Рейтинг: 0 / 0

а, одну вещщ не понил - где устанавливается, что 128 бит, в какой момент? когда сертификат генерируешь или где-то в настройках веб.хмл?

...

Рейтинг:

0 / 0

12.04.2004, 15:29

| Ответить | Цитировать | Написать

15 сообщений из 15, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / основные шаги, чтобы трафик с томкатом был шифрованным

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=32477718&tid=2154215]:	0ms
get settings:	9ms
get forum list:	12ms
check forum access:	3ms
check topic access:	3ms
track hit:	128ms
get topic data:	9ms
get forum data:	2ms
get page messages:	45ms
get tp. blocked users:	1ms
others:	12ms

total:	224ms