L'utilisation de plusieurs certificats SSL dans Tomcat 7
https://stackoverflow.com/questions/6324901
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je l'ai utilisé un certificat SSL générique dans Apache Tomcat 7. Mais maintenant que je dois renouveler, je vois qu'il ya ces EV (vérification étendue) les certificats SSL où les navigateurs montrent un bar vert afin que les utilisateurs se sentent mieux. Ce serait important pour mon site, donc je le veux! Mais j'ai plusieurs sous-domaines et apparemment des certificats EV SSL ne sont pas wildcard par nature. Alors ok, j'ai un certain nombre de sous-domaines, je peux acheter un bouquet (je vraiment besoin d'au moins 2) EV certificats SSL pour chaque sous-domaine.
Puis-je mis cela dans Tomcat 7 afin qu'il y ait plusieurs certificats SSL sur 1 application web? Ce n'est pas un problème pour moi d'attribuer des adresses IP multiples à cette machine.
La solution
Sans Nom du serveur Indication (SNI), qui est pas pris en charge en Java (6), vous avez besoin d'un certificat par adresse IP.
Vous pouvez configurer Tomcat pour utiliser plusieurs connecteurs, avec des adresses IP différentes et des certificats, en utilisant le attribut d'adresse .
Par exemple:
<Connector
port="8443" maxThreads="200" address="10.0.0.1"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="keystore1.jks" keystorePass="..."
clientAuth="false" sslProtocol="TLS"/>
<Connector
port="8443" maxThreads="200" address="10.0.0.2"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="keystore2.jks" keystorePass="..."
clientAuth="false" sslProtocol="TLS"/>
Vous pouvez également être en mesure d'utiliser la même keystore, si vous avez besoin, et utiliser l'attribut keyAlias (en Connector) pour dire au connecteur qui clé / certificat à utiliser (en fonction du nom d'alias dans le keystore).
Autres conseils
Je ne suis pas sûr, ici si "SNI" est vraiment pertinent.
Mais dans votre cas, la solution typique serait appelé ainsi SSLOffloading ou résiliation ssl: dire mettre votre tomcat behinde un apache qui configuré pour utiliser plusieurs noms vhosts / domaine sur la même adresse IP. Vous pouvez configurer pour chaque vhost dans apache d'utiliser son propre certificat SSL.
Il y a un guide étape par étape pour ce sujet ici:
http: //milestonenext.blogspot. de / 2012/09 / ssl-déchargement-avec-modjk-partie-1.html
Je viens de ce travail sur un serveur avec plusieurs de SSL et de IP.
IP est ajoutée de cette façon:
http://www.loadtestingtool.com/help/how-setup-ip.shtml
Ajout de code pour rendre l'utilisation maximale du serveur de sécurité possible avec les « chiffrements » (en ayant une clé de 2048 bits).
Testée d'abord que cela fonctionnera avec les touches auto-signés de cette façon:
http://community.jboss.org/wiki/GeneratingSelfSignedCertificateWithKeytool
Notez que le test sur cette page a des caractères erronés dans le début du texte « -keystore » (sur plusieurs endroits).
Voici le code:
<Connector protocol="org.apache.coyote.http11.Http11Protocol" address="###.###.###.##1" port="443" minSpareThreads="5"
enableLookups="true" acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true" keystoreFile="key1.key"
keystorePass="password1" clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"/>
<Connector protocol="org.apache.coyote.http11.Http11Protocol" address="###.###.###.##2" port="443" minSpareThreads="5"
enableLookups="true" acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true" keystoreFile="key2.key"
keystorePass="password2" clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"/>
Vous pouvez tout simplement rendre la vie plus facile et obtenir EV SAN (également connu sous le UCC) et ajouter chaque domaine comme une entrée dans le champ de sujet autre nom. Et si vous voulez utiliser plusieurs adresses IP, juste exporter le certificat et le réimporter sur chaque adresse IP (http://www.ssltools.com/manager est grand pour que si vous utilisez Windows). Un bon exemple d'un certificat EV SAN est le certificat trouvé https://www.ssl.com , juste examiner il.
