1. Dom
  2. Pytanie i odpowiedź
  3. Konfigurowanie protokołu SSL do pracy z aplikacją WWW Java na serwerze Tomcat 5.5

Konfigurowanie protokołu SSL do pracy z aplikacją WWW Java na serwerze Tomcat 5.5

2010-06-21 10 views
7

To jest trochę pytanie typu noob, ale co jest potrzebne, aby SSL działał w mojej aplikacji WWW Java (standardowy rodzaj aplikacji internetowej Java z wykorzystaniem Stripes do implementacji MVC , Spring i Hibernate)?Konfigurowanie protokołu SSL do pracy z aplikacją WWW Java na serwerze Tomcat 5.5

Wdrażam mój plik wojenny na serwerze Tomcat 5.5. Chcę, aby SSL był używany tylko dla niektórych adresów URL - takich, które przesyłają hasło użytkownika - więc zarejestruj konto, zmień hasło i zaloguj się.

Czy wystarczy uzyskać certyfikat SSL i zainstalować go w Tomcat? Jak mogę się upewnić, że https jest używany tylko w przypadku niektórych adresów URL?

Źródło

2010-06-21 JMM

Odpowiedz

8

Czy wystarczy, aby uzyskać cert SSL i zainstalować go w Tomcat?

To będzie konieczne, a będziesz musiał skonfigurować bezpieczne złącze.

Jak zapewnić, że https jest używany tylko w przypadku niektórych adresów URL?

recommendation jest do szyfrowania przedstawienie postaci (tj używać bezwzględnych https:// adresy URL w odpowiedniej formie action) poza sobą również stronach składania formularza jeżeli chcesz, aby zapobiec man in the middle ataki.

więc używać „zabezpieczone” Absolute linki wszędzie trzeba i egzekwować SSL dla określonej treści przy użyciu ograniczeń zabezpieczeń w web.xml:

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>Secure Area</web-resource-name> 
     <url-pattern>/secure/*</url-pattern> 
     <http-method>GET</http-method> 
     <http-method>POST</http-method> 
    </web-resource-collection> 
    <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint>

Źródło

2010-06-21 15:18:55

+0

+1, oczywiście .. Zapomniałem o ograniczeniu bezpieczeństwa :) – Bozho

+0

Ja nie myślę, że naprawdę rozumiem tę część: "Zaleca się szyfrowanie przesyłania formularzy (tj. używanie bezwzględnych adresów URL https: // w odpowiedniej akcji formularza), ale także tworzenie samych stron przesyłania, jeśli chcesz zapobiec atakowi środkowemu." Być może przykład wyjaśniłby mi wszystko? – JMM

+0

@Annie: Czy próbowałeś spojrzeć na żądania wysłane przez twoją przeglądarkę internetową w wąchającym oprogramowaniu, takim jak Fiddler lub Wire-Shark? Zauważasz różnicę między swoimi żądaniami a Żądania, które możesz uzyskać z profesjonalnych stron internetowych, takich jak Facebook? – user919860

2

Możesz dokonać Filter, który przekierowuje do https:// dla żądanych adresów URL.

Źródło

2010-06-21 14:06:30 Bozho

2

Czy muszę po prostu uzyskać certyfikat SSL i zainstalować go w Tomcat?

The Tomcat manual ma ładny łatwy do naśladowania przewodnik dotyczący ustawiania.

Jak zapewnić, że https jest używany tylko w przypadku niektórych adresów URL?

Ten element logiki musi znajdować się w aplikacji. Rozwiązanie Bozho na pewno by działało, mogą istnieć inne rozwiązania, jeśli korzystasz z konkretnych frameworków internetowych lub nie.

Źródło

2010-06-21 14:30:04

1

Tak, potrzebujesz certyfikatu SSL. Może być samodzielnie podpisany lub wydany przez oficjalnie uznany urząd certyfikacji.

Oto dobry tutorial o ogólnej konfiguracji SSL w Tomcat i jak zmodyfikować deskryptor wdrażania włączyć SSL: http://www.jroller.com/gmazza/entry/setting_up_ssl_and_basic

Źródło

2010-06-21 14:32:50

+1

tego adresu URL nie działa. Znalazłem ten na blogu gmazza, który był powiązany: http://www.jroller.com/gmazza/entry/ssl_for_web_services – slm

Powiązane problemy

 Powiązane problemy