Статьи

SSL ваш Tomcat 7

Одна вещь, которую я делаю очень часто и всегда ищу в Интернете, — это как получить самозаверяющий SSL-сертификат и установить его как в моих клиентских браузерах, так и в локальном Tomcat.

Конечно, в Интернете достаточно ресурсов, но так как искать занятие — это зануда (да, некоторые не работают), я подумал, что давайте сделаем это правильно один раз и задокументируем, чтобы он всегда был там.

Создать хранилище ключей

Keystores — это файлы, где хранятся ваши ключи. В нашем случае нам нужно создать тот, который будет использоваться как Tomcat, так и для генерации сертификатов.

Командная строка:

keytool -genkey -keyalg RSA -alias blog.frankel.ch -keystore keystore.jks -validity 999 -keysize 2048

Параметры следующие:

параметр Значение Описание
-genkey   Запрашивает keytool для генерации ключа. Для всех предоставленных функций введите keytool -help
-keyalg RSA Требуется алгоритм. Указанный алгоритм должен быть доступен одному из зарегистрированных поставщиков услуг криптографии.
-keysize 2048 Размер ключа
-период действия 999 Срок действия в днях
-alias blog.frankel.ch Вход в хранилище ключей
-keystore keystore.jks Keystore. Если хранилище ключей еще не существует, оно будет создано, и вам будет предложено ввести новый пароль; в противном случае вам будет предложено ввести пароль текущего магазина

Настроить Tomcat

Настройка SSL Tomcat выполняется в файле $ {TOMCAT_HOME} /conf/server.xml. Найдите следующий фрагмент:

<!--
  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" />
    -->

Теперь раскомментируйте его и добавьте следующие атрибуты:

  • keystoreFile = «/ путь / к / вашим / keystore.jks»
  • keystorePass = «Ваш пароль»

Примечание: если магазин содержит только одну запись, штраф; в противном случае вам нужно будет настроить имя записи с помощью keyAlias ​​= «blog.frankel.ch»

Запуск Tomcat и переход по адресу https: // localhost: 8443 / покажет вам дружелюбное лицо Tomcat. Кроме того, в журналах будут отображаться:

28 june 2011 20:25:14 org.apache.coyote.AbstractProtocolHandler init
INFO: Initializing ProtocolHandler ["http-bio-8443"]

Экспорт сертификата

Сертификат создан из нашей предыдущей записи в хранилище ключей.

Командная строка:

keytool -export -alias blog.frankel.ch -file blog.frankel.ch.crt -keystore keystore.jks

Еще проще, нам бросают вызов пароль хранилища ключей, и это все. Вновь созданный сертификат теперь доступен в файловой системе. Нам просто нужно распространить его среди всех браузеров, которые будут подключаться к Tomcat, чтобы обойти предупреждения безопасности (поскольку это самозаверяющий сертификат).

Распространить слово

Последний шаг — поместить самоподписанный сертификат в список доверенных сертификатов в Firefox. Для быстрого и грязного способа импортируйте его в свой собственный Firefox (Параметры -> Дополнительно -> Показать сертификаты -> Импорт…) и распространите% USER_HOME% «/ Данные приложения / Mozilla / Firefox / Profiles / xzy.default / cert8. Файл базы данных. Его необходимо скопировать в папку% FIREFOX_HOME% / defaults / profile, чтобы обновить каждый отдельный профиль на целевом компьютере. Обратите внимание, что при таком способе будут потеряны ранее принятые индивидуально сертификаты (короче говоря, мы перезаписываем вся база данных сертификатов.) Для более производственного процесса, посмотрите на следующий раздел.

Чтобы идти дальше:

 

From http://blog.frankel.ch/ssl-your-tomcat-7