Настроить SSL для Tomcat / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Настроить SSL для Tomcat

15 сообщений из 15, страница 1 из 1

Настроить SSL для Tomcat

#38451454

oson

Участник

Откуда: Одесса, Украина

Сообщения: 1 136

Рейтинг: 0 / 0

Подскажите пожалуйста.
Нужно настроить взаимодействие между Rest клиентом и контроллером, который крутится на Tomcat, по SSL (https).
Я не до конца понимаю тему. Как мы можем обязать Tomcat принимать вызовы только по https?
То есть сейчас клиент может сделать вызов http://host:80/app/rest/service1.
А надо, чтобы он не мог этого сделать, а должен был делать https://host:8443/app/rest/service1
Как это настраивать? Это касается настроек самого Tomcat только, или в web.xml тоже надо делать какие-то настройки?

...

Рейтинг:

0 / 0

03.11.2013, 23:34

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38451469

IDVsbruck

Участник

Откуда: Украина

Сообщения: 4 289

Рейтинг: 0 / 0

Только Tomcat. Там не не все гладко, но настроить несложно. Понятно, речь идет о настройке томкета, когда он стоит не только как контейнер сервлетов, но и как веб-сервер. Настройка коннектора в server.xml:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<Connector
    port="8443"
    protocol="org.apache.coyote.http11.Http11AprProtocol"
    SSLEnabled="true"
    maxThreads="150"
    scheme="https"
    secure="true"
    clientAuth="optional"
    sslProtocol="TLSv1"
    SSLCertificateFile="mypath\my.crt"
    SSLCertificateKeyFile="mypath\mysecret.pem"/>

Обязательно включить слушатель:

Код: xml

<Listener SSLEngine="on" className="org.apache.catalina.core.AprLifecycleListener"/>

Ну, и надо настроить мост внешнего 443-го порта на внутренний 8443.

Также такая настройка подразумевает наличие сертификата. Как-то делают самоподписные, но есть конторы, которые дают сертификаты бесплатно, правда, с ограниченным сроком жизни (вроде обычно 3 месяца или 90 дней). Нашел старые записи как я его "добывал", можнт оказаться полезным:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.

1. Создаем RSA-ключ без пароля:
	openssl genrsa -out domainname.key 2048
2. Назначаем путь для cfg:
	set OPENSSL_CONF=path-to-openssl\openssl-0.9.8h-1-bin\share\openssl.cnf
3. Создаем CSR-запрос для сайта:
	openssl req -new -key domainname.key -out domainname.csr
	вводим страна, провинция, город, фирма, офис, вместо имени полный адрес сайта (!), остальные пустые
4. Переходим на сайт  http://www.freessl.su/  и вводим значения
5. Указываем один из адресов, ждем письмо и подтверждаем.
6. Получаем сертификат (у меня пришел в тот же день).

...

Рейтинг:

0 / 0

04.11.2013, 00:08

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488216

oson

Участник

Откуда: Одесса, Украина

Сообщения: 1 136

Рейтинг: 0 / 0

Спасибо.

...

Рейтинг:

0 / 0

04.12.2013, 01:02

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488225

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

oson,

почитай мой блог я на днях выложил все в картинках и прочей лабуде - ну прямо в коня корм. Там даже проект на гитхабе есть чтоб уж совсем все заяснить.

http://vyatkins.wordpress.com/2013/11/19/java-base-ssl-connection-to-tomcat-with-server-and-client-certifications/

там очень много гемороя по сертификатам я даже скриптик написал полезный чтоб долго не мучаться с Трастами и кто кому верит.

...

Рейтинг:

0 / 0

04.12.2013, 01:20

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488285

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Sergunkaoson,

почитай мой блог я на днях выложил все в картинках и прочей лабуде - ну прямо в коня корм. Там даже проект на гитхабе есть чтоб уж совсем все заяснить.

http://vyatkins.wordpress.com/2013/11/19/java-base-ssl-connection-to-tomcat-with-server-and-client-certifications/

там очень много гемороя по сертификатам я даже скриптик написал полезный чтоб долго не мучаться с Трастами и кто кому верит.

уж если здесь рекламируешь себя, мог бы и на русском , или слишком крут?

...

Рейтинг:

0 / 0

04.12.2013, 06:30

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488286

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

для генерации сертификатов удобно это http://portecle.sourceforge.net/

...

Рейтинг:

0 / 0

04.12.2013, 06:35

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488369

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

вадяуж если здесь рекламируешь себя, мог бы и на русском , или слишком крут?

Назови хоть одну причину почему статью надо перевести на русский язык.

...

Рейтинг:

0 / 0

04.12.2013, 09:39

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488381

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

Я обычно пользуюсь http://keystore-explorer.sourceforge.net/ когда надо просмотреть кучу сертификатов в keystore довольно интутитвно понятный и внятный интерфейс включает в себя функциональность:
keytool, jarsigner и jadtool.

Сертификаты лучше генерить keytool так как часто бывает нестыковка по версии Java т.е. надо следить чтоб версия java и keytool совпадали - могут быть конфликты если из разных версий.

...

Рейтинг:

0 / 0

04.12.2013, 09:55

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488422

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Sergunkaвадяуж если здесь рекламируешь себя, мог бы и на русском , или слишком крут?

Назови хоть одну причину почему статью надо перевести на русский язык.

я учил немецкий (французкий, итальянский)...

...

Рейтинг:

0 / 0

04.12.2013, 10:23

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38488458

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

вадяSergunkaпропущено...

Назови хоть одну причину почему статью надо перевести на русский язык.

я учил немецкий (французкий, итальянский)...

Соболезную... действительно сурово Вам в ИТ. Полагаю пора уже начать учить английский.

...

Рейтинг:

0 / 0

04.12.2013, 10:44

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38603815

Nixic

Участник

Откуда: Perm

Сообщения: 2 028

Рейтинг: 0 / 0

поднимем темку :)
Я использовал вот эту инструкцию http://habrahabr.ru/post/134453/
там есть опечатки, но в итоге все получилось. Делал это еще полгода назад
Тогда был нужен доступ извне к серверу по https
Сделал ключи, экспортировал, импортировал и прочее. Все работает, но!
Возникла необходимость сделать второй сертификат с меньшим временем валидности и тут встал в тупик.

сгенерил

Код: c#

sudo keytool -genkey -alias client -keyalg RSA -keystore /home/nix/ssldb/myclientstore -storetype PKCS12 -validity 2000 -keysize 1024

экспортировал

Код: c#

sudo keytool -export -alias client -keyalg RSA -keystore /home/nix/ssldb/myclientstore -storetype PKCS12 -file /home/nix/ssldb/clientcert

и импортировал в главное, так скажем хранилище

Код: coco

sudo keytool -import -alias client -keyalg RSA -keystore /home/nix/ssldb/mystore -storetype JKS -file /home/nix/ssldb/clientcert

отдавать клиенту нужно myclientstore, так?
А на серваке что?

У меня в server.xml прописано:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

 <Connector port="8443" SSLEnabled="true" maxHttpHeaderSize="8192" 
       maxThreads="150" minSpareThreads="25" maxSpareThreads="200"
      enableLookups="false" disableUploadTimeout="true"
     acceptCount="100" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
   keystoreFile="/ssldb/mystore" 
          keystorePass="password" keystoreType="JKS"
         keyAlias="tomcat"
        truststoreFile="/ssldb/mytruststore"
           truststorePass="password" truststoreType="JKS"/>

То есть пути к mytruststore и к mystore.
Вчера часа 4-5 сидел изучал вопрос, по верхушкам полазил, можно сказать, и, вроде как, даже, общую концепцию понял.
Буду, конечно, сейчас сидеть еще рыть, но может кто-нибудь поправит, наставит, пнет в нужном направлении?)))

...

Рейтинг:

0 / 0

03.04.2014, 10:02

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38604955

WGA

Гость

NixicВозникла необходимость сделать второй сертификат с меньшим временем валидности и тут встал в тупик.Можно поподробнее? На смену текущему или как?

Кстати, очень большая есть путаница в головах по поводу SSL и ассимметричного шифрования вообще. Серверу, работающему по HTTPS нужны не сертификаты, а и их закрытые ключи. Хотя сертификаты тоже нужны, чтобы "представиться".

...

Рейтинг:

0 / 0

04.04.2014, 00:15

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38607049

Nixic

Участник

Откуда: Perm

Сообщения: 2 028

Рейтинг: 0 / 0

WGA,

да уж, абсолютно согласен на счет путаницы.

Задача в следующем:
На один компутер ставится сертификат, который рассчитан на работу например на 5 лет. Дается, к примеру, директору.
Сертификат дает доступ к рабочему ресурсу(сайту/приложению) xxx.com, к примеру.
На другой компутер - менеджеру продаж нужно поставить сертификат, например, на 30 дней. А при необходимости вообще закрыть доступ через этот сертификат на ресурс(сайту/приложению) xxx.com.
Ну и так далее, каждому свой сертификат, с возможностью закрытия доступа при необходимости.

...

Рейтинг:

0 / 0

07.04.2014, 11:53

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38607974

WGA

Гость

Nixic,

У сертификата есть период валидности. Задается при создании. Можно просто удалить сертификат из доверенных в случае досрочного отзыва прав доступа к ххх.соm.

Рекомендую тулзу .

...

Рейтинг:

0 / 0

08.04.2014, 09:57

| Ответить | Цитировать | Написать

Настроить SSL для Tomcat

#38608053

Nixic

Участник

Откуда: Perm

Сообщения: 2 028

Рейтинг: 0 / 0

WGA,

за тулзу спасибо, попробовал, вроде как все гораздо проще, сегодня вечером как все с работы свалят уйдут, буду пробовать :)

...

Рейтинг:

0 / 0

08.04.2014, 10:44

| Ответить | Цитировать | Написать

15 сообщений из 15, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / Настроить SSL для Tomcat

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=38607049&tid=2127374]:	0ms
get settings:	12ms
get forum list:	19ms
check forum access:	5ms
check topic access:	5ms
track hit:	81ms
get topic data:	11ms
get forum data:	2ms
get page messages:	40ms
get tp. blocked users:	1ms
others:	234ms

total:	410ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы