Apache Tomcat-da SSL tətbiq etmək necə?

Tomcat serverində SSL / TLS sertifikatı qurmaq üçün addım-addım təlimat.


Tomcat-ı təmin etmək üçün vacib vəzifələrdən biri SSL sertifikatını konfiqurasiya etməkdir, buna görə veb tətbiqetməyə əlçatandır HTTPS.

Buna nail olmağın bir çox yolu var.

  • Bir yük balansöründə SSL ləğv edə bilərsiniz
  • CDL səviyyəsində SSL tətbiq edin
  • Öndə Apache, Nginx və s. Veb serverlərindən istifadə edin və orada SSL tətbiq edin

Ancaq yuxarıda göstərilənlərdən heç birini istifadə etmirsinizsə və ya bunu ön cəbhə kimi istifadə etmirsinizsə və ya SSL-ni birbaşa Tomcat-a yerləşdirməyiniz lazımdırsa, aşağıdakılar sizə kömək edəcəkdir.

Bu yazıda aşağıdakı kimi edəcəyik.

  • KSM yaradın (Sertifikat imzalama istəyi)
  • Bir dükan sənədində sertifikat idxal edin
  • Tomcat-da SSL-i aktiv edin
  • TLS protokolunu konfiqurasiya edin
  • 443 porta qulaq asmaq üçün Tomcat-ı dəyişdirin
  • SSL zəifliyi üçün Tomcat test edin

Gəlin başlayaq…

SSL / TLS sertifikatına hazırlaşır

İlk addım KSM yaratmaq və imzaladığı sənədləri əldə etmək olacaq sertifikat orqanı. Sertifikatları idarə etmək üçün keytool yardım proqramından istifadə edəcəyik.

  • Tomcat serverinə daxil olun
  • Tomcat quraşdırma yoluna gedin
  • Ssl adlı qovluq yaradın
  • Əmrini yerinə yetirin açar mağaza yaradın

keytool -genkey -alias domainname -keyalg RSA -keysize 2048 -keystore filename.jks

Dəyişdirmək istədiyiniz yuxarıdakı əmrlərdə iki dəyişən var.

  1. Ləqəb – bunu mənalı saxlamağınız daha yaxşıdır ki, gələcəkdə tez tanısınız. Domen adı olaraq saxlamağı üstün tuturam.
  2. Filename – yenidən, domen adını saxlamaq yaxşıdır.

Məsələn:

[[e-poçt qorunur] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
Açar mağazalar şifrəsini daxil edin:
Yeni parolu yenidən daxil edin:
Ad ve soyad nedir?
[Naməlum]: bloggerflare.com
Təşkilat vahidinizin adı nədir?
[Naməlum]: Fotogalereya
Təşkilatınızın adı nədir?
[Naməlum]: Geek Flare
Şəhərinizin və ya Yerinizin adı nədir?
[Naməlum]:
Dövlətinizin və ya vilayətinizin adı nədir?
[Naməlum]:
Bu bölmə üçün iki hərfli ölkə kodu nədir?
[Naməlum]:
CN = bloggerflare.com, OU = Blog, O = Geek Flare, L = Naməlum, ST = Naməlum, C = Naməlum düzgündür?
[Xeyr Bəli

Üçün parol daxil edin
(Açar anbar parolu ilə eyni olduqda geri qayıdın):

[[e-poçt qorunur] ssl] #

Diqqət yetirin ad və soyad sualı. Bu məncə bir az yanlışdır. Bu adınız deyil, etibar etmək istədiyiniz domen adıdır.

Bütün məlumatları verdikdən sonra hazırkı bir iş qovluğunda açar dükanı sənədini yaradacaqsınız.

Sonrakı olardı yeni bir KSM yaratmaq aşağıda göstərilən əmr ilə yeni yaradılan açar mağazası ilə.

keytool -certreq -alias bloggerflare -keyalg RSA -fayl bloggerflare.csr -keystore bloggerflare.jks

Bu, imzalanması üçün sertifikat orqanına göndərməyiniz lazım olan bir CSR yaradacaqdır. Ətrafınızda oynayırsınızsa, onda bir mükafat almaq üçün PULSUZ bir sertifikat provayderindən istifadə etməyi düşünə bilərsiniz.

Sertifikatı imzaladım və davam edəcəyəm açar mağazaya idxal aşağıdakı əmr ilə.

  • İdxal kök sertifikatı provayder tərəfindən verilir

keytool -importcert -alias kök -file kök -keystore bloggerflare.jks

  • Aralıq sertifikatı idxal edin

keytool -importcert -alias aralıq -file ara -qiymətli mağaza bloggerflare.jks

Qeyd: kök idxal etmədən & aralıq, domen sertifikatını açar dükanına idxal edə bilməyəcəksiniz. Birdən çox ara varsa, hamısını idxal etməlisən.

  • İdarə etmə sertifikatı

keytool -importcert -fayl bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

və quraşdırıldığına dair bir təsdiq alacaqsınız.

Sertifikat cavabı açar mağazada quraşdırıldı

Əla, buna görə sertifikat açar mağazası artıq hazırdır. Növbəti addıma keçək.

SSL üçün yeni və daha çox bilmək istəyirsinizsə, bu onlayn kursa yazılın – SSL / TLS əməliyyatları.

Tomcat-da SSL-i aktiv edin

Tomcat serverinə girdiyinizi düşündüyünüz təqdirdə conf qovluğuna keçin

  • Server.xml faylının ehtiyat nüsxəsini götürün
  • Bölməyə gedin və bir xətt əlavə edin

SSLEnaktiv ="doğru" sxem ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="çandan" clientAuth ="yalan" sslProtocol ="TLS"

  • Açar mağaza sənəd adını və şifrənizi özünüzlə dəyişdirməyi unutmayın
  • Tomcat’ı yenidən başladın və Tomcat’ın HTTPS üzərindən əlçatan olduğunu görməlisiniz

Şirin!

Standart HTTPS Portu

Niyə?

Bəli, yuxarıdakı ekran görüntüsünə baxsanız, Tomcat-a 8080-dən yuxarı olmayan və standart olmayan https ilə bir çox səbəbi daxil edirəm..

  • İstifadəçilərdən xüsusi portdan istifadə etmələrini istəməzsiniz
  • Sertifikat port olmadan domen adı verildiyi üçün brauzer xəbərdarlıq edəcəkdir

Beləliklə, Tomcat’ın 443 limanında dinlənilməsini təmin etmək lazımdır ki, sadəcə https: // port nömrəsiz olsun.

Bunu etmək üçün server.xml-ni ən yaxşı redaktorunuzla düzəldin

  • Getmək 
  • Portu 8080-dən 443-ə dəyişdirin
  • Bu görünməlidir
  • Tomcat-ı yenidən başladın və heç bir port nömrəsi olmadan https ilə tətbiqetməyə daxil olun

Etkileyici, uğurdur!

SSL / TLS Zəiflik Testi

Nəhayət, onlayn təhdidlərə qarşı həssas olmadığını təmin etmək üçün bir test edəcəyik.

Burada müzakirə etdiyim bir çox onlayn vasitə var və burada SSL Laboratoriyalarından istifadə edəcəyəm.

Və onun YAŞ – Bir reytinq.

Bununla birlikdə, hesabatı aşağıya fırlatmaq və hər hansı bir zəiflik tapıb onu düzəltdiyinizi görmək həmişə yaxşı bir fikirdir.

Deməli, bu gün üçün hər şey idi.

Ümid edirəm ki, bu Tomcat’ın SSL / TLS sertifikatı ilə təmin edilməsi prosedurunu bilməyinizə kömək edəcəkdir. Daha çox öyrənmək istəyirsinizsə, bunu çox tövsiyə edirəm kurs.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map