У меня есть сервер CENT OS, и приложение размещено на apache tomcat. Я мало что знаю о сертификатах SSL, но я сделал следующее, чтобы настроить его
1 - Создать файл хранилища ключей
keytool -genkey -alias -keyalg RSA -keysize 2048 -keystore -sigalg SHA256withRSA
2 - Создать CSR
keytool -certreq -alias -file -keystore -sigalg SHA256withRSA
3 - Импорт
скачал файл p7b, предоставленный Symantec для CSR, и импортировал сертификат
keytool -import -alias -trustcacerts -file -keystore
Все работает нормально, но на панели инструментов Symantec SSL отображается следующее предупреждение
Рекомендации: На сервере установлен рут. Лучше всего удалить самозаверяющий корень с сервера.
Есть идеи, как я могу удалить / удалить Root с сервера, чтобы избежать этого предупреждения?
Чтобы удалить корневой самоподписанный сертификат из tomcat, вам необходимо удалить его из установки java. Это действие выполняется через исполняемый двоичный файл keytool, который находится в папке bin внутри вашей установки java jdk.
Параметры, которые следует использовать для удаления самоподписанного сертификата из tomcat, следующие:
keytool -delete -noprompt -alias ${cert.alias} -keystore ${keystore.file} -storepass ${keystore.pass}
Например, чтобы удалить самоподписанный сертификат с именем tomcat, который я установил на моем компьютере, мне пришлось использовать следующее:
"%JAVA_HOME%\bin\keytool" -delete -noprompt -alias tomcat
Больше информации:
https://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html
Единственное, что я нашел, было Эта статья который в основном гласит: «Браузеры получат ваш оплаченный сертификат, а также получат ваш самозаверяющий сертификат», и их работа - выяснить это.
ИМХО, продукт Symantic потратил мое время на погоню за гусем. Они также рекомендуют исправить BEAST с помощью RC4 (я полагаю), что не рекомендуется. Браузеры исправляют BEAST.
BEAST
The BEAST attack is not mitigated on this server.
Root installed on the server.
For best practices, remove the self-signed root from the server.
Вместо этого я бы порекомендовал эту услугу: https://www.ssllabs.com/ssltest/analyze.html
Их статьи по исправлению положения очень полезны.
это это статья, которую я использовал для настройки nginx. Требовалось одно изменение, чтобы получить пятёрку +