Az ESMC Web Console-t kétféleképpen lehet beállítani a HTTPS használatához:
Újratelepítheti Az ESMC webkonzolt az All-in-one telepítővel, a biztonságos kapcsolat (HTTPS) használatához szükséges tanúsítvány automatikus létrehozásához.
Kövesse az alábbi lépéseket:
A tanúsítvány kézi hozzáadásához kövesse az alábbi lépéseket.
C:\Program Files\Apache Software Foundation\Tomcat_folder
<Connector
a </Engine>
kifejezés után (pl. új Apache Tomcat telepítéskor), akkor másolja át a Server.xml fájlba a </Engine>
kifejezés után a következő karaktersort (a keystoreFile
, keystorePass
, és keystoreType
esetén használja a saját értékeit):
<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />
<Connector
kifejezést követően szerepel a </Engine>
kifejezés (pl. amikor az Apache Tomcat frissítésekor a Server.xml állományt visszaállítja) akkor az alábbi paraméterek értékeit cserélje ki a saját értékeire:
- keystoreFile
- A tanúsítvány fájl (.pfx, .keystore
, stb.) teljes elérési útját tartalmazza. Ha nem JKS tanúsítványt használ (pl. egy .pfx
fájlt), törölje a keyAlias
-t (alapértelmezés szerint a Server.xml-ben található) és adja meg a megfelelő keystoreType
-ot.- keystorePass
- A tanúsítvány jelszavát biztosítja.- keystoreType
- Meghatározza a tanúsítvány típusát.certificate_file.pfx
) a Tomcat konfigurációs mappájába (pl. /etc/tomcat/).<Connector
a
<Service name="Catalina">
kifejezés után a Server.xml fájlban, akkor másolja be utána a következő karaktersort a Server.xml fájlba
(a keystoreFile
, keystorePass
, és keystoreType
esetén használja a saját értékeit):<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
sslEnabledProtocols="TLSv1.2,TLSv1.3"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_256_CBC_SHA"
keystoreFile="/etc/tomcat/certificate_file.pfx"
keystorePass="Secret_Password_123"
keystoreType="PKCS12"
/>
<Service name="Catalina">
kifejezés után van <Connector
kifejezés, akkor folytassa a feljebb található 2.b ponttal.service Tomcat stop
, service Tomcat start
)Az ESMC Web Console biztonságos HTTPS/SSL kapcsolaton keresztüli eléréséhez kövesse az alábbi lépéseket:
A Java tartalmaz egy ún. keytool-t (keytool.exe
), amely lehetővé teszi a tanúsítványok parancssoron keresztüli létrehozását. Minden egyes tomcat példányhoz új tanúsítványt kell generálni (ha több tomcat példányt használ), annak biztosítása érdekében, hogy ha az egyik tanúsítvány megsérülne vagy megbízhatatlanná válna, akkor a többi tomcat példány biztonságban maradjon.
Az alábbiakban egy SSL tanúsítványos keystore létrehozásához szükséges példaparancs látható.
Keresse meg a keytool.exe fájl pontos helyét, például a C:\Program Files\Java\jre1.8.0_201\bin
(az elérési út az operációs rendszertől és a Java verziótól függően eltérhet a példában szereplőtől), majd futtassa a következő parancsot:
keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\t
omcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
/etc/tomcat/tomcat.keystore
elérési út csak egy példa, használja a saját rendszerében lévő aktuális elérési utat.keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\
tomcat.keystore" -ext san=dns:ESMC7-2008R2
keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\
tomcat.keystore" -trustcacerts -file "C:\root.crt"
keytool.exe -import -alias intermediate -keystore "C
:\Program Files\Apache Software Foundation\Tomcat_folder\
tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"
intermediate.crt.pem
" -keystore "/etc/tomcat/tomcat.keystore"
tomcat.cer
) a kulcstárolóba. Az alábbiakban egy mintaparancs látható, amely segítségével aláírt tanúsítványt lehet a kulcstárolóba importálni:keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"
Ha már meglévő tanúsítványt (például vállalati tanúsítványt) szeretne használni, kövesse az itt olvasható utasításokat.
server.xml
beállításait úgy, hogy a <Connector
bejegyzés hasonló legyen az alábbi példához:<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>
Ez a módosítás (scheme=
paraméter) a Tomcat-ben kikapcsolja a nem biztonságos funkciókat, így csak a HTTPS funkció marad bekapcsolt állapotban. Biztonsági okokból a tomcat-users.xml
fájlt is módosítani kell úgy hogy annak hatására törlődjön az összes Tomcat felhasználó, illetve módosítani kell a ServerInfo.properties
fájlt is, hogy a Tomcat azonosítója rejtve maradjon.
<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat/tomcat.keystore" keystorePass="yourpassword"/>
sudo service tomcat restart
tomcat7
szolgáltatásnevet használják.