Я пытаюсь настроить SSL на своем Jetty.
Я прочитал это: http://docs.codehaus.org/display/JETTY/How+to+configure+SSL и создал хранилище ключей.
Затем я перешел непосредственно к разделу 4. Но где этот файл конфигурации, который я должен настроить Jetty?
Я пробовал искать jetty.xml, но на моем компьютере такого нет ...
У меня было много проблем с его работой, но я наконец понял, как это сделать. Я использую ubuntu 10.04 с java 7. Возможно, это можно сделать под Windows, но все строки команд являются командами bash, возможно, можно сделать то же самое с cigwin / mingw
Я использовал Jetty 8.1.8. Загрузите его с codehaus и выберите файл .tar.gz для Linux. (.zip для Windows).
Разархивируйте файл в любой каталог, который вы хотите, это будет ваша домашняя папка {jetty} для этой статьи / ответа.
Перейдите в каталог {jetty} / etc.
Выполните все следующие командные строки по порядку. Каждый раз, когда запрашивается пароль, все время вводите один и тот же пароль. Пароли используются для защиты ключевого файла, хранилища ключей и самого сертификата. Иногда будет запрошен пароль, чтобы разблокировать хранилище ключей или использовать сгенерированный ключ. Как только вы поймете, что все такое и как правильно использовать пароли, вы можете изменить эти пароли, когда почувствуете, что готовы (безопаснее для производственного использования). В противном случае введите запрошенную информацию, когда ее спросят.
openssl genrsa -des3 -out jetty.key
openssl req -new -x509 -key jetty.key -out jetty.crt
keytool -keystore keystore -import -alias jetty -file jetty.crt -trustcacerts
openssl req -new -key jetty.key -out jetty.csr
openssl pkcs12 -inkey jetty.key -in jetty.crt -export -out jetty.pkcs12
keytool -importkeystore -srckeystore jetty.pkcs12 -srcstoretype PKCS12 -destkeystore keystore
Теперь вам нужно отредактировать {jetty} /etc/jetty-ssl.xml и настроить свой пароль в соответствии с тем, который вы использовали при создании сертификата. Если вы хотите скрыть свой пароль, вернитесь в командную строку. Перейдите в домашний каталог {jetty} и выполните следующее:
java -cp lib/jetty-util-8.1.8.v20121106.jar org.eclipse.jetty.util.security.Password "{PASSWORD}"
Измените {PASSWORD} на свой фактический пароль, а затем пропустите скрытый пароль, включая «OBF:» во всех полях пароля, найденных в jetty-ssl.xml. Обратите внимание, что подобным образом запутанный пароль трудно прочитать людям, но его легко деобфисковать программно. Это просто не позволяет разработчикам узнать пароль при редактировании файла. Все файлы конфигурации должны быть должным образом защищены, а доступ к ним должен быть максимально ограниченным.
Отредактируйте {jetty} /start.ini и раскомментируйте строку # etc / jetty-ssl.xml (просто удалите #).
Стартовая пристань:
java -jar start.jar
Теперь свяжитесь со своим сервером по адресу: https://localhost:8443
Сделанный!
Обратите внимание, что этот ответ - быстрый способ включить SSL с причалом. Чтобы сделать его безопасным для производства, вам нужно прочитать еще немного по этой теме.
truststore? Было бы jetty.pkcs12?
- person Michael Black; 03.07.2019
Ответ обновлен после большего опыта работы с хранилищами ключей. Уверяю вас, это решение отлично работает с промежуточными сертификатами (29.07.2015).
Примечание. Формат PEM означает читаемый файл, сертификаты начинаются с ---BEGIN CERTIFICATE---, а закрытые ключи начинаются со строки -----BEGIN PRIVATE KEY-----.
Вот простое пошаговое руководство. Начните с пустого каталога.
Перейдите к шагу 2, если у вас есть закрытый ключ (ключ с кодировкой PEM).
Перейдите к шагу 3, если у вас есть запрос на подпись сертификата (.csr с кодировкой PEM).
Перейдите к шагу 4 если у вас есть сертификат (в формате PEM .crt или .pem)
Подготовьте закрытый ключ (без пароля).
openssl genrsa -des3 -passout pass:1 -out domain.pass.key 2048
openssl rsa -passin pass:1 -in domain.pass.key -out domain.key
rm domain.pass.key
Подготовьте запрос на подпись сертификата (CSR). Мы сгенерируем это, используя наш ключ. Введите соответствующую информацию, когда ее спросят. Обратите внимание на использование -sha256, без него современные браузеры выдадут предупреждение.
openssl req -key domain.key -sha256 -new -out domain.csr
Подготовить сертификат. Выбери один:
а) Подпишите сами
openssl x509 -req -days 3650 -in domain.csr -signkey domain.key -out domain.crt
б) Отправьте его в орган
Ваш провайдер SSL предоставит вам ваш сертификат и их промежуточные сертификаты в формате PEM.
Добавьте в цепочку доверия и упакуйте ее в формат PKCS12. Первая команда устанавливает пароль хранилища ключей для удобства (иначе вам нужно будет ввести пароль несколько раз). Установите другой пароль для безопасности.
export PASS=LW33Lk714l9l8Iv
Выбери один:
а) Самозаверяющий сертификат (промежуточные сертификаты не нужны)
openssl pkcs12 -export -in domain.crt -inkey domain.key -out domain.p12 -name domain -passout pass:$PASS
keytool -importkeystore -deststorepass $PASS -destkeypass $PASS -destkeystore domain.keystore -srckeystore domain.p12 -srcstoretype PKCS12 -srcstorepass $PASS -alias domain
б) Необходимо включить промежуточные сертификаты
Загрузите промежуточные сертификаты и объедините их в один файл. Порядок должен быть ниже корневого.
cat sub.class1.server.ca.pem ca.pem > ca_chain.pem
Используйте параметр -caname для каждого промежуточного сертификата в файле цепочки в соответствии с порядком, в котором они были помещены в файл цепочки.
openssl pkcs12 -export -in domain.crt -inkey domain.key -out domain.p12 -name domain -passout pass:$PASS -CAfile ca_chain.pem -caname sub1 -caname root -chain
keytool -importkeystore -deststorepass $PASS -destkeypass $PASS -destkeystore domain.keystore -srckeystore domain.p12 -srcstoretype PKCS12 -srcstorepass $PASS -alias domain
Важное примечание: хотя keytool -list будет отображать только одну запись, а не какие-либо промежуточные сертификаты, он будет работать идеально.
Настроить причал.
Переместите файл domain.keystore в JETTY_HOME / etc /.
Выбери один:
a) Вы используете новую конфигурацию стиля start.ini (Jetty 8+):
jetty.keystore=etc/domain.keystore
jetty.truststore=etc/domain.keystore
jetty.keystore.password=LW33Lk714l9l8Iv
jetty.keymanager.password=LW33Lk714l9l8Iv
jetty.truststore.password=LW33Lk714l9l8Iv
б) Вы используете конфигурацию старого стиля с файлами .xml (вам следует перейти на новый стиль!):
Отредактируйте JETTY_HOME/etc/jetty-ssl.xml файл и измените часть ниже. Замените части пароля, чтобы они соответствовали вашему паролю. Мы не определяем KeyManagerPassword, потому что у нашего ключа нет пароля.
<Configure id="Server" class="org.eclipse.jetty.server.Server">
<New id="sslContextFactory" class="org.eclipse.jetty.http.ssl.SslContextFactory">
<Set name="KeyStore"><Property name="jetty.home" default="." />/etc/keystore</Set>
<Set name="KeyStorePassword">LW33Lk714l9l8Iv</Set>
<Set name="TrustStore"><Property name="jetty.home" default="." />/etc/keystore</Set>
<Set name="TrustStorePassword">LW33Lk714l9l8Iv</Set>
</New>
<Call name="addConnector">...</Call>
</Configure>
Отредактируйте файл start.ini, включив в него файл jetty-ssl.xml.
(Re) стартовый причал.
Обратите внимание, что этот файл хранилища ключей также можно использовать с другими контейнерами, такими как Tomcat. Удачи!
curl localhost:8443/ curl: (52) Empty reply from server Вызов 8080 по-прежнему работает нормально. Есть идеи, что я пропустил?
- person Usman Ismail; 23.09.2014
Файл конфигурации по умолчанию для Jetty, расположенный по адресу $JETTY_HOME/etc/jetty.xml.
Если вы используете плагин maven jetty, вам нужно будет указать детали хранилища ключей ssl в вашем файле pom.xml. Дополнительные сведения см. В этом вопросе.
Только что купил сертификат у godaddy всего за 6 долларов в год. Отличная сделка, пока длится. Вот шаги, которые я выполнил, чтобы настроить его на Amazon EC2 / Ubuntu / Jetty на основе этих сайтов и ответа Жана-Филиппа Гравеля.
http://docs.codehaus.org/display/JETTY/How+to+configure+SSL
http://community.xmatters.com/docs/DOC-1228#.UgWsI1MU7lc
keytool -keystore keystore -alias jettykey -genkey -keyalg RSA
Обратите внимание, что «Имя и фамилия» должно быть вашим полным доменным именем (без http: //). С первой попытки я послушно поставил свое имя и фамилию, но godaddy сделал хорошие предупреждения и отверг их.
Создайте файл CSR для Godaddy:
keytool -certreq -alias jetty -keystore keystore -file jetty.csr
Отправьте это в форме Godaddy для создания сертификата, включая BEGIN / END «ЗАПРОС НОВОГО СЕРТИФИКАТА».
(Godaddy требует, чтобы вы подтвердили свой сайт. Для этого существует несколько способов, и, поскольку я купил доменное имя через прокси, мне показалось, что проще и быстрее всего проверить, разместив html-страницу, созданную godaddy.)
Загрузите zip-архив с сертификатом и промежуточным сертификатом от godaddy. Существует список типов серверов на выбор. Я выбираю «другое». Затем объедините сертификат с промежуточным сертификатом.
cat mydomain.com.crt gd_bundle.crt > certchain.txt
экспортировать мой закрытый ключ
keytool -importkeystore -srckeystore keystore -destkeystore intermediate.p12 -deststoretype PKCS12
openssl pkcs12 -in intermediate.p12 -out jettykey.pem -nodes
объединить закрытый ключ и сертификат
openssl pkcs12 -export -inkey jettykey.pem -in certchain.txt -out jetty.pkcs12
импортировать сертификат pkcs12 (псевдоним становится 1)
keytool -importkeystore -srckeystore jetty.pkcs12 -srcstoretype PKCS12 -destkeystore keystore
(Я сделал резервную копию хранилища ключей, а затем удалил исходный ключ. Я сделал это во время устранения неполадок, и это может потребоваться, а может и не потребоваться Jetty.)
keytool -delete -keystore keystore -alias jettykey
sudo cp keystore /usr/share/jetty/etc/
sudo vi /usr/share/jetty/etc/jetty-ssl.xml
Измените свои.store.password, your.key.password и your.trust.password соответственно. Если вы хотите его запутать, используйте
java -cp /usr/share/jetty/lib/jetty.jar:/usr/share/jetty/lib/jetty-util.jar org.mortbay.jetty.security.Password <your.password>
Укажите Jetty, чтобы загрузить файл jetty-ssl.xml.
sudo echo "/etc/jetty/jetty-ssl.xml" >> /etc/jetty/jetty.conf
sudo /sbin/iptables -t nat -I PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443
(Также измените группу безопасности Amazon EC2, чтобы разрешить 443)
sudo service jetty start
Если вы работаете с Jetty 9.3, вам следует изменить конфигурацию в start.d/ssl.ini:
jetty.sslContext.keyStorePath=mystore.jks
jetty.sslContext.keyStorePassword=X
jetty.sslContext.keyManagerPassword=X
jetty.sslContext.trustStorePath=mystore.jks
jetty.sslContext.trustStorePassword=X
Где:
mystore.jks - это ваш магазин, созданный с помощью keytoolX - это ваш пароль в виде обычного текста (я бы рекомендовал пропустить обфускацию, поскольку это дает вам только ложную защиту)Магазин точно такой же, как и для Tomcat. Даже если вы использовали другую версию Java для создания хранилища ключей, это не должно быть проблемой.
start.d и другие файлы, но как это влияет на реализацию Jetty, втянутую с зависимостью платформы dropwizard
- person DJ2; 09.04.2018
start.d - вот где должна быть ваша конфигурация. Примеры файлов конфигурации находятся в исходной установке причала в демонстрационной базе ... Не уверен, сильно ли они отличаются между версиями / выпусками причала.
- person Nux; 11.04.2018
При попытке использовать Jetty в качестве подключаемого модуля Maven в Windows могут помочь следующие шаги:
pom.xml
<plugin>
<groupId>org.mortbay.jetty</groupId>
<artifactId>jetty-maven-plugin</artifactId>
<version>8.1.11.v20130520</version>
<configuration>
<scanIntervalSeconds>10</scanIntervalSeconds>
<webApp>
<contextPath>/yourappcontext</contextPath>
</webApp>
<connectors>
<connector implementation="org.eclipse.jetty.server.nio.SelectChannelConnector">
<port>9090</port>
<maxIdleTime>1</maxIdleTime>
</connector>
<connector implementation="org.eclipse.jetty.server.ssl.SslSocketConnector">
<port>9443</port>
<keystore>src/test/resources/keystore</keystore>
<keyPassword>123456</keyPassword>
<password>123456</password>
</connector>
</connectors>
</configuration>
</plugin>
Создайте ключ / сертификат с помощью инструмента JDK keytool:
keytool -keystore keystore -alias jetty -genkey -keyalg RSA
Эта команда сгенерирует файл keystore, который нам нужно поместить по следующему (или как вам угодно, пока он не будет настроен в элементе keystore) пути src/test/resources/keystore.
