Configurer SSL sur la Jetée

Je suis en train de configurer SSL sur mon Quai.

J'ai lu ceci:
http://docs.codehaus.org/display/JETTY/How+à+configuration+SSL
et a créé un magasin de clés.

Alors, j'ai sauté directement à la section 4. Mais où est ce fichier de configuration je dois configurer Jetty?

J'ai essayé de recheche jetty.xml mais il n'existe pas sur mon ordinateur...

InformationsquelleAutor Yura | 2010-10-24
  1. 39

    J'ai eu beaucoup de problèmes pour le faire fonctionner, mais j'ai finalement trouvé comment faire dans les parages. Je suis sous ubuntu 10.04 avec java 7. Il peut être possible de le faire sous windows, mais tous les comands lignes de commandes bash, peut-être possible de faire la même chose avec cigwin/mingw

    J'ai utilisé de la Jetée 8.1.8. Télécharger à partir de codehaus et choisissez le .tar.gz fichier pour linux (.zip pour windows).

    Décompressez le fichier dans le répertoire que vous souhaitez, ce sera votre {jetée} dossier d'accueil pour les besoins de cet article/réponse.

    Aller à la {jetée}/etc répertoire.

    Exécuter toutes les lignes de commande suivantes dans l'ordre. Chaque fois qu'un mot de passe est demandé, entrez le même mot de passe tout le temps. Les mots de passe sont utilisés pour protéger la clé, le fichier de magasin de clés et le certificat lui-même. Parfois, un mot de passe vous sera demandé pour déverrouiller la clé de stockage ou à l'utilisation d'une clé générée. Une fois que vous comprenez ce que tout est et comment utiliser les mots de passe correctement, vous pouvez changer ces mots de passe lorsque vous vous sentez prêt (plus sûr pour une utilisation en production). Sinon, saisissez les informations demandées lors de la demande.

    openssl genrsa -des3 -out jetty.key
openssl req -new -x509 -key jetty.key -out jetty.crt
keytool -keystore keystore -import -alias jetty -file jetty.crt -trustcacerts
openssl req -new -key jetty.key -out jetty.csr
openssl pkcs12 -inkey jetty.key -in jetty.crt -export -out jetty.pkcs12
keytool -importkeystore -srckeystore jetty.pkcs12 -srcstoretype PKCS12 -destkeystore keystore

    Maintenant, vous devez modifier {jetée}/etc/jetty-ssl.xml et configurer votre mot de passe correspond à celui que vous avez utilisé lors de la génération de certificats. Si vous souhaitez dissimuler votre mot de passe, retournez à la ligne de commande. Aller tho votre {jetée} répertoire d'accueil et d'exécuter les opérations suivantes:

    java -cp lib/jetty-util-8.1.8.v20121106.jar org.eclipse.jetty.util.security.Password "{PASSWORD}"

    Changement {MOT de passe} pour votre mot de passe actuel puis le mot de passe dissimulé, y compris le "OBF:" dans tous les champs de mot de passe trouvé dans jetty-ssl.xml. Note qu'un mot de passe d'obfuscation comme ça, c'est dur à lire pour les humains, mais facilement unobfiscated par programmation. Il vient de prévenir les développeurs à connaître le mot de passe lors de modifier le fichier. Tous les fichiers de configuration doivent être fixés correctement et que leur accès soit aussi restrictive que possible.

    Modifier {jetée}/start.ini et décommentez la ligne #etc/jetty-ssl.xml (il suffit de retirer le #).

    Début de la jetée:

    java -jar start.jar

    Maintenant communiquer avec votre serveur à: https://localhost:8443

    Fait!

    Noter que cette réponse est un moyen rapide pour activer le protocole SSL avec jetty. Pour assurer la sécurité de la production, vous avez pour lire un peu plus sur le sujet.

    • À la dernière étape, j'ai obtenu l'erreur: impossible de déchiffrer contenu du coffre d'entrée: javax.crypto.BadPaddingException: compte tenu de bloc final pas correctement le collier de La solution à followinmg lien a fonctionné pour moi: stackoverflow.com/questions/9236939/... #Supprimer les fichiers créés rm de la jetée.pkcs12 de la jetée.la rse fichier de stockage des clés de la jetée.crt de la jetée.la touche#, Répétez toutes les étapes, avec une première étape modifié pour ajouter 2048 à la fin, comme illustré ci-dessous: openssl genrsa -des3 -out de la jetée.clé de 2048 Aussi, suggérons d'ajouter des commentaires à chacune des étapes pour expliquer ce qu'il fait. Merci pour une bonne solution.
    • récente de la jetée versions apparemment n'utilisez pas démarrer.ini. Au lieu d'exécuter ceci: sudo echo "/etc/jetty/jetty-ssl.xml" >> /etc/jetty/jetty.conf
    InformationsquelleAutor formixian
  2. 24

    Réponse mis à jour après plus d'expérience avec des fichiers de clés. Je vous assure que cette solution fonctionne parfaitement avec les certificats intermédiaires (29/07/2015).

    Remarque: le format PEM signifie un fichier lisible, certificats de commencer avec ---BEGIN CERTIFICATE--- et les clés privées de commencer avec -----BEGIN PRIVATE KEY----- ligne.

    Voici un guide étape par étape. Commencez avec un répertoire vide.

    Passez à l'Étape 2 si vous avez la clé privée (encodé au format PEM .la clé)

    Passez à l'Étape 3 si vous avez des demande de signature de certificat (encodé au format PEM .la rse)

    Passez à l'Étape 4 si vous avez votre certificat (encodé au format PEM .crt ou .pem)

    1. Préparer (sans mot de passe) de la clé privée. 

      openssl genrsa -des3 -passout pass:1 -out domain.pass.key 2048
openssl rsa -passin pass:1 -in domain.pass.key -out domain.key
rm domain.pass.key

    2. Préparer la demande de signature de certificat (CSR). Nous allons générer à l'aide de notre clé. Entrez les informations pertinentes lorsque demandé. Notez l'utilisation de -sha256, sans elle, les navigateurs modernes va générer un message d'avertissement. 

      openssl req -key domain.key -sha256 -new -out domain.csr

    3. Préparer certificat. Choisissez:

      a) de Signer vous-même

      openssl x509 -req -days 3650 -in domain.csr -signkey domain.key -out domain.crt

      b) de l'Envoyer à une autorité

      Votre fournisseur de certificats SSL, de vous fournir votre certificat et de leurs certificats intermédiaires au format PEM.

    4. Ajouter à la chaîne de confiance et un package au format PKCS12. Première commande définit un mot de passe du fichier de clés pour des raisons de commodité (sinon, vous devrez entrer le mot de passe une dizaine de fois). Définir un mot de passe différent pour la sécurité. 

      export PASS=LW33Lk714l9l8Iv

      Choisissez:

      a) certificat Auto-signé (pas besoin de certificats intermédiaires) 

      openssl pkcs12 -export -in domain.crt -inkey domain.key -out domain.p12 -name domain -passout pass:$PASS
keytool -importkeystore -deststorepass $PASS -destkeypass $PASS -destkeystore domain.keystore -srckeystore domain.p12 -srcstoretype PKCS12 -srcstorepass $PASS -alias domain

      b) la Nécessité d'inclure les certificats intermédiaires

      Télécharger les certificats intermédiaires et concat en un seul fichier. L'ordre doit être sous la racine. 

      cat sub.class1.server.ca.pem ca.pem > ca_chain.pem

      Utiliser un -caname paramètre pour chaque certificat intermédiaire dans la chaîne de fichier, correspondant à l'ordre qu'ils ont été mis dans la chaîne de fichier. 

      openssl pkcs12 -export -in domain.crt -inkey domain.key -out domain.p12 -name domain -passout pass:$PASS -CAfile ca_chain.pem -caname sub1 -caname root -chain
keytool -importkeystore -deststorepass $PASS -destkeypass $PASS -destkeystore domain.keystore -srckeystore domain.p12 -srcstoretype PKCS12 -srcstorepass $PASS -alias domain

      Remarque importante: Bien que keytool -list ne liste une entrée et pas de certificats intermédiaires, il fonctionne parfaitement.

    5. Configurer la jetée.

      Déplacer domain.keystore fichier à JETTY_HOME/etc/.

      Choisissez:

      a) Vous êtes en utilisant de nouveaux start.ini style de configuration (Jetty 8+): 

      jetty.keystore=etc/domain.keystore
jetty.truststore=etc/domain.keystore
jetty.keystore.password=LW33Lk714l9l8Iv
jetty.keymanager.password=LW33Lk714l9l8Iv
jetty.truststore.password=LW33Lk714l9l8Iv

      b) Vous êtes à l'utilisation de l'ancienne configuration .les fichiers xml (vous devez mettre à niveau pour un nouveau style!):

      Modifier JETTY_HOME/etc/jetty-ssl.xml fichier et modifier la partie ci-dessous. Remplacer le mot de passe pièces pour correspondre à votre mot de passe. Nous ne définissons pas le KeyManagerPassword parce que notre clé n'a pas de mot de passe. 

      <Configure id="Server" class="org.eclipse.jetty.server.Server">
  <New id="sslContextFactory" class="org.eclipse.jetty.http.ssl.SslContextFactory">
    <Set name="KeyStore"><Property name="jetty.home" default="." />/etc/keystore</Set>
    <Set name="KeyStorePassword">LW33Lk714l9l8Iv</Set>
    <Set name="TrustStore"><Property name="jetty.home" default="." />/etc/keystore</Set>
    <Set name="TrustStorePassword">LW33Lk714l9l8Iv</Set>
  </New>
  <Call name="addConnector">...</Call>
</Configure>

      Modifier démarrer.ini fichier à inclure jetty-ssl.xml fichier.

    6. (Re)lancer la jetée.

    Notez que ce fichier de magasin de clés peut également être utilisé avec d'autres conteneurs comme Tomcat. Bonne chance!

    • J'ai suivi toutes ces étapes, mais obtenir curl localhost:8443/ curl: (52) Empty reply from server Le 8080 appel fonctionne toujours très bien. Toute idée de ce que j'ai raté?
    • Utilisation curl https://localhost:8443/ à la place.
    InformationsquelleAutor bekce
  3. 2

    Un fichier de configuration par défaut pour la Jetée est situé à $JETTY_HOME/etc/jetty.xml

    Si vous utilisez du maven jetty plugin, vous devrez spécifier le fichier de clés ssl détails dans votre pom.xml fichier. Voir cette question pour plus de détails

    • Ce que nous avons ici est un fichier de configuration. Nous commençons serveur qui lit le pcjetty.xml fichier de configuration, puis configure et commence jetty (dans le cadre de notre code Java)
    • J'ai essayé d'ajouter ceci: wiki.eclipse.org/Jetty/Reference/SSL_Connectors pour pcjetty.xml fichier mais il déclenche une exception au démarrage. Je n'ai pas vraiment comprendre ce que cette section ne et il doit être configuré... Pourriez-vous svp aider?
    • si vous ne voyez pas jetty.xml fichier dans le répertoire /etc, essayez d'en créer un, peut-être que cela permettra de résoudre votre problème
    • J'ai anotherfile (créé par nous) pcjetty.xml. C'est le fichier de configuration de la jetée de lit à partir de quand je le charger à partir du code. Toutefois, l'ajout de la section
    • <nom="addConnector"> <Arg> <Nouvelle class="org.eclipse.la jetée.serveur.le protocole ssl.SslSelectChannelConnector"> <Set name="Port">8443</Set>
    • etc... n'aide pas, il y a des erreurs. Je cherchais un et complet tutoriel/explanaition comment configurer l'jetty.xml (ou pcjetty.xml dans mon cas)

    InformationsquelleAutor Sorantis
  4. 2

    Viens d'acheter un cert de godaddy pour la modique somme de 6/an. Pendant qu'elle dure. Voici les étapes que j'ai suivi à mettre en place sur Amazon EC2/Ubuntu/Jetée sur la base de ces sites et Jean-Philippe Gravel réponse.

    http://docs.codehaus.org/display/JETTY/How+à+configuration+SSL

    http://community.xmatters.com/docs/DOC-1228#.UgWsI1MU7lc

    keytool -keystore keystore -alias jettykey -genkey -keyalg RSA

    Note que "nom et prénom" doit être votre nom de domaine complet (sans http://). Lors de ma première tentative, j'avais consciencieusement mettre mon nom et prénom, mais godaddy a de bonnes mises en garde et l'a rejetée.

    Générer un fichier CSR pour Godaddy:

    keytool -certreq -alias jetty -keystore keystore -file jetty.csr

    Soumettre ce dans la Godaddy formulaire pour créer le certificat, y compris le point de début/FIN "NOUVELLE DEMANDE de CERTIFICAT".

    (Godaddy vous oblige à vérifier son de votre site. Il ya un couple de méthodes pour ce et depuis que j'ai acheté le nom de domaine via un proxy, je l'ai trouvé plus facile et rapide à vérifier par l'hébergement d'une page html générée par godaddy.)

    Télécharger le zip contenant à la fois le certificat et le certificat intermédiaire de godaddy. Il y a une liste des types de serveur à choisir. - Je choisir "autres". Puis de combiner cert par l'intermédiaire de cert.

    cat mydomain.com.crt gd_bundle.crt > certchain.txt

    exportation ma clé privée

    keytool -importkeystore -srckeystore keystore -destkeystore intermediate.p12 -deststoretype PKCS12
openssl pkcs12 -in intermediate.p12 -out jettykey.pem -nodes

    combiner clé privée et le certificat

    openssl pkcs12 -export -inkey jettykey.pem -in certchain.txt -out jetty.pkcs12

    importation pkcs12 cert (alias devient 1)

    keytool -importkeystore -srckeystore jetty.pkcs12 -srcstoretype PKCS12 -destkeystore keystore

    (J'ai sauvegardé le fichier de clés puis supprimé la clé d'origine. J'ai fait cela pendant le dépannage et cela peut ou peut ne pas être exigée par la Jetée.)

    keytool -delete  -keystore keystore -alias jettykey

sudo cp keystore /usr/share/jetty/etc/

sudo vi /usr/share/jetty/etc/jetty-ssl.xml

    Modifier votre.magasin.le mot de passe, votre.clé.le mot de passe, et votre.confiance.mot de passe en conséquence. Si vous souhaitez dissimuler, utilisez

    java -cp /usr/share/jetty/lib/jetty.jar:/usr/share/jetty/lib/jetty-util.jar org.mortbay.jetty.security.Password <your.password>

    Indiquer à l'Embarcadère pour charger le jetty-ssl.xml fichier.

    sudo echo "/etc/jetty/jetty-ssl.xml" >> /etc/jetty/jetty.conf

sudo /sbin/iptables -t nat -I PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

    (Également modifier Amazon EC2 groupe de sécurité pour permettre 443)

    sudo service jetty start
    InformationsquelleAutor s_t_e_v_e
  5. 1

    Si vous arrive de travailler avec ponton 9.3 alors vous devez changer la configuration dans start.d/ssl.ini:

    jetty.sslContext.keyStorePath=mystore.jks
jetty.sslContext.keyStorePassword=X
jetty.sslContext.keyManagerPassword=X
jetty.sslContext.trustStorePath=mystore.jks
jetty.sslContext.trustStorePassword=X

    Où:

    • mystore.jks est votre magasin généré avec le keytool
    • X est votre mot de passe en texte clair (je recommanderais sauter de dissimulation qu'il ne vous donne qu'une fausse sécurité)

    Le magasin est exactement la même que pour générer de Tomcat. Même si vous avez utilisé les différentes version de Java pour générer le fichier de clés qui ne devrait pas être un problème.

    • Il est toujours nécessaire d'entrer un mot de passe lors de l'utilisation de ssl sur la jetée? (J'étais sur le point d'essayer d'importer une paire de clés dans mon jks, donc j'ai encore besoin d'entrer le mot de passe pour le sslContext comme décrit?)
    • La jetée de a à connaître le mot de passe. Sinon, il ne serait pas en mesure d'utiliser les certificats de chiffrement.
    • Désolé c'est un vieux thread, mais en cours d'exécution sur une question similaire, à un guichet automatique. J'ai dropwizard (1.3-rc6) - je pense que la dernière version de celui-ci. Il est livré avec de la Jetée, où voulez-vous de modifier ces fichiers? J'ai téléchargé la Jetée localement avec le brassage et le savoir étaient les start.d et d'autres fichiers, mais de quelle manière cela affecte la Jetée de la mise en œuvre tiré dans le dropwizard cadre de la dépendance
    • Bien start.d est où votre configuration doit être. Exemples de fichiers de configuration sont à l'origine de la jetée de l'installation de démonstration de la base de... vous ne savez Pas si elles diffèrent beaucoup entre la jetée de versions/éditions.
    InformationsquelleAutor Nux
  6. 0

    Lors de la tentative de Windows avec Jetée comme Maven plugin les étapes suivantes peuvent aider:

    pom.xml

    <plugin>
    <groupId>org.mortbay.jetty</groupId>
    <artifactId>jetty-maven-plugin</artifactId>
    <version>8.1.11.v20130520</version>
    <configuration>
        <scanIntervalSeconds>10</scanIntervalSeconds>
        <webApp>
            <contextPath>/yourappcontext</contextPath>
        </webApp>
        <connectors>
            <connector implementation="org.eclipse.jetty.server.nio.SelectChannelConnector">
                <port>9090</port>
                <maxIdleTime>1</maxIdleTime>
            </connector>
            <connector implementation="org.eclipse.jetty.server.ssl.SslSocketConnector">
                <port>9443</port>
                <keystore>src/test/resources/keystore</keystore>
                <keyPassword>123456</keyPassword>
                <password>123456</password>
            </connector>
        </connectors>
    </configuration>
</plugin>

    Générer la clé/certificat à l'aide du JDK outil keytool:

    keytool -keystore keystore -alias jetty -genkey -keyalg RSA

    Cette commande va générer un fichier keystore dont nous avons besoin pour mettre à la suite (ou ce que jamais vous le souhaitez jusqu'à ce qu'il est configuré dans le keystore élément) chemin src/test/resources/keystore.

    InformationsquelleAutor Kalher