У меня есть сервер, на котором работают Apache и Tomcat. Внешнее приложение (построенное на angularjs) работает в Apache, я установил сертификат SSL, и он работает нормально, я могу получить доступ с помощью HTTPS и доверия браузера к сертификату. Но затем это приложение потребляет некоторые службы из другого приложения, которое находится на ТО ЖЕ сервере, но работает с Tomcat 8 (поскольку это приложение, построенное на Java).
Проблема в том, что браузер (хром) не позволяет сайту в https использовать сервисы с другого сервера (на самом деле он работает на том же сервере, но это другое приложение), который не использует SSL. Поэтому я пытаюсь использовать тот же SSL, что и в Apache в Tomcat. Но я не могу заставить его работать. В соответствии с тем, что я читал, я должен добавить сертификат в хранилище ключей, но когда я пытаюсь это сделать, сертификат указан как trustCertEntry, и в соответствии с документацией, потому что я не использую тот же псевдоним, который я использовал для создания закрытый ключ .... Но когда я создаю закрытый ключ, я не использовал псевдоним, поэтому я не уверен, как это исправить ...
Вкратце: один сервер, на котором запущено приложение в Apache (порт 80) и другое приложение в Tomcat (порт 8080). В Apache можно использовать SSL. Я создаю закрытый ключ с помощью:
openssl genrsa -out mydomain.key 2048
openssl req -new -key mydomain.key -out mydomain.csr
А затем я попытался добавить сертификат в хранилище ключей с помощью
keytool -import -keystore mydomain -alias mydomain -file [certificate file]
Но он указан как trustCertEntry, и tomcat не работает с HTTPS на порте 8080 или 8443.
Что мне не хватает? Могу ли я сделать это с одним сертификатом? Или мне нужно два, даже если они на одном сервере?
Мой server.xml - это
<?xml version="1.0" encoding="UTF-8"?>
http://www.apache.org/licenses/LICENSE-2.0
Если это не требуется действующим законодательством или не согласовано в письменной форме, программное обеспечение, распространяемое по Лицензии, распространяется «КАК ЕСТЬ», БЕЗ ГАРАНТИЙ ИЛИ УСЛОВИЙ ЛЮБОГО РОДА, явных или подразумеваемых. См. Лицензию, чтобы узнать о конкретных языках, регулирующих разрешения и ограничения в соответствии с Лицензией. -> ->
<!--The connectors can use a shared executor, you can define one or more named thread pools-->
<!--
<Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
maxThreads="150" minSpareThreads="4"/>
-->
<!-- A "Connector" represents an endpoint by which requests are received
and responses are returned. Documentation at :
Java HTTP Connector: /docs/config/http.html
Java AJP Connector: /docs/config/ajp.html
APR (HTTP/AJP) Connector: /docs/apr.html
Define a non-SSL/TLS HTTP/1.1 Connector on port 8080
-->
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
<!-- A "Connector" using the shared thread pool-->
<!--
<Connector executor="tomcatThreadPool"
port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
-->
<!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443
This connector uses the NIO implementation. The default
SSLImplementation will depend on the presence of the APR/native
library and the useOpenSSL attribute of the
AprLifecycleListener.
Either JSSE or OpenSSL style configuration may be used regardless of
the SSLImplementation selected. JSSE style configuration is used below.
-->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
type="RSA" />
</SSLHostConfig>
</Connector>
<!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443 with HTTP/2
This connector uses the APR/native implementation which always uses
OpenSSL for TLS.
Either JSSE or OpenSSL style configuration may be used. OpenSSL style
configuration is used below.
-->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
maxThreads="150" SSLEnabled="true" >
<UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
<SSLHostConfig>
<Certificate certificateKeyFile="conf/localhost-rsa-key.pem"
certificateFile="conf/localhost-rsa-cert.pem"
certificateChainFile="conf/localhost-rsa-chain.pem"
type="RSA" />
</SSLHostConfig>
</Connector>
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
<!-- An Engine represents the entry point (within Catalina) that processes
every request. The Engine implementation for Tomcat stand alone
analyzes the HTTP headers included with the request, and passes them
on to the appropriate Host (virtual host).
Documentation at /docs/config/engine.html -->
<!-- You should set jvmRoute to support load-balancing via AJP ie :
<Engine name="Catalina" defaultHost="localhost" jvmRoute="jvm1">
-->
<Engine name="Catalina" defaultHost="localhost">
<!--For clustering, please take a look at documentation at:
/docs/cluster-howto.html (simple how to)
/docs/config/cluster.html (reference documentation) -->
<!--
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
-->
<!-- Use the LockOutRealm to prevent attempts to guess user passwords
via a brute-force attack -->
<Realm className="org.apache.catalina.realm.LockOutRealm">
<!-- This Realm uses the UserDatabase configured in the global JNDI
resources under the key "UserDatabase". Any edits
that are performed against this UserDatabase are immediately
available for use by the Realm. -->
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
</Realm>
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<!-- SingleSignOn valve, share authentication between web applications
Documentation at: /docs/config/valve.html -->
<!--
<Valve className="org.apache.catalina.authenticator.SingleSignOn" />
-->
<!-- Access log processes all example.
Documentation at: /docs/config/valve.html
Note: The pattern used is equivalent to using pattern="common" -->
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
</Host>
</Engine>
Браузеры могут быть немного забавными по поводу ssl-сайтов, содержащих небезопасный контент. Если у вас есть SSL, работающий с Apache, вы можете использовать Apache в качестве обратного прокси для публикации приложения Tomcat, используя коннектор ajp или обратный прокси. Таким образом, вам вообще не нужно беспокоиться о SSL на Tomcat, все это делается на сервере Apache (соединение между tomcat и apache небезопасно, но в любом случае оно должно быть в частной сети). Все необходимые документы включены в apache:
Настройка коннектора AJP на Apache
Или вы можете использовать простой обратный прокси
Документы tomcat AJP не особенно ясны - просто отредактируйте файл conf / server.xml и раскомментируйте / включите следующий бит, чтобы Tomcat принимал запросы ajp:
<Service name="Catalina">
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
...