Одна вещь, которую я делаю очень часто и всегда ищу в Интернете, — это как получить самозаверяющий SSL-сертификат и установить его как в моих клиентских браузерах, так и в локальном Tomcat.
Конечно, в Интернете достаточно ресурсов, но так как искать занятие — это зануда (да, некоторые не работают), я подумал, что давайте сделаем это правильно один раз и задокументируем, чтобы он всегда был там.
Создать хранилище ключей
Keystores — это файлы, где хранятся ваши ключи. В нашем случае нам нужно создать тот, который будет использоваться как Tomcat, так и для генерации сертификатов.
Командная строка:
keytool -genkey -keyalg RSA -alias blog.frankel.ch -keystore keystore.jks -validity 999 -keysize 2048
Параметры следующие:
| параметр | Значение | Описание |
|---|---|---|
| -genkey | Запрашивает keytool для генерации ключа. Для всех предоставленных функций введите keytool -help | |
| -keyalg | RSA | Требуется алгоритм. Указанный алгоритм должен быть доступен одному из зарегистрированных поставщиков услуг криптографии. |
| -keysize | 2048 | Размер ключа |
| -период действия | 999 | Срок действия в днях |
| -alias | blog.frankel.ch | Вход в хранилище ключей |
| -keystore | keystore.jks | Keystore. Если хранилище ключей еще не существует, оно будет создано, и вам будет предложено ввести новый пароль; в противном случае вам будет предложено ввести пароль текущего магазина |
Настроить Tomcat
Настройка SSL Tomcat выполняется в файле $ {TOMCAT_HOME} /conf/server.xml. Найдите следующий фрагмент:
Теперь раскомментируйте его и добавьте следующие атрибуты:
- keystoreFile = «/ путь / к / вашим / keystore.jks»
- keystorePass = «Ваш пароль»
Примечание: если магазин содержит только одну запись, штраф; в противном случае вам нужно будет настроить имя записи с помощью keyAlias = «blog.frankel.ch»
Запуск Tomcat и переход по адресу https: // localhost: 8443 / покажет вам дружелюбное лицо Tomcat. Кроме того, в журналах будут отображаться:
28 june 2011 20:25:14 org.apache.coyote.AbstractProtocolHandler init INFO: Initializing ProtocolHandler ["http-bio-8443"]
Экспорт сертификата
Сертификат создан из нашей предыдущей записи в хранилище ключей.
Командная строка:
keytool -export -alias blog.frankel.ch -file blog.frankel.ch.crt -keystore keystore.jks
Еще проще, нам бросают вызов пароль хранилища ключей, и это все. Вновь созданный сертификат теперь доступен в файловой системе. Нам просто нужно распространить его среди всех браузеров, которые будут подключаться к Tomcat, чтобы обойти предупреждения безопасности (поскольку это самозаверяющий сертификат).
Распространить слово
Последний шаг — поместить самоподписанный сертификат в список доверенных сертификатов в Firefox. Для быстрого и грязного способа импортируйте его в свой собственный Firefox (Параметры -> Дополнительно -> Показать сертификаты -> Импорт…) и распространите% USER_HOME% «/ Данные приложения / Mozilla / Firefox / Profiles / xzy.default / cert8. Файл базы данных. Его необходимо скопировать в папку% FIREFOX_HOME% / defaults / profile, чтобы обновить каждый отдельный профиль на целевом компьютере. Обратите внимание, что при таком способе будут потеряны ранее принятые индивидуально сертификаты (короче говоря, мы перезаписываем вся база данных сертификатов.) Для более производственного процесса, посмотрите на следующий раздел.
Чтобы идти дальше:
- Наиболее распространенные команды хранилища ключей Java Keytool
- Конфигурация Tomcat 7 SSL КАК-ТО
- Где я могу скачать certutil.exe для Windows