...
Dica |
---|
Uma alternativa gratuita é oferecida pela Linux Foundation através do site Let's Encrypt. Saiba mais acessando a FAQ documentação Certificado HTTPS (SSL/TLS) Gratuito. Caso tenha dúvidas sobre os procedimentos realizados no OpenSSL, consulte a FAQ documentação Utilizando OpenSSL para configurar HTTPS. |
Configuração de HTTPS pelo wcmadmin
...
A partir da atualização 1.7.1, a configuração de HTTPS pode ser realizada diretamente pelo Painel de controle da plataforma, acessando com o usuário wcmadmin. O passo a passo para realizar essa configuração pode ser conferido na documentação de Configurações do sistema.
Procedimentos de configuração de SSL
...
Navegue nos passos abaixo para configuração do SSL no servidor de aplicação:
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | ssl |
---|
effectType | fade |
---|
|
Card |
---|
default | true |
---|
id | 1 |
---|
label | Passo 1 |
---|
|
- Parar os serviços do Fluig (fluig, fluig_indexer, fluig_RealTime e cache, caso estiver utilizando cache externo e.g: MemCached ou redis).
|
Card |
---|
default | true |
---|
id | 2 |
---|
label | Passo 2 |
---|
|
- No arquivo domain.xml, localizado em [Instalação Fluig]/appserver/domain/configuration, incluir a tag <https-listener> no subsystem "undertow". Não deve ser retirado a tag contendo as configurações HTTP.
- Na tag HTTP, acrescente o atributo proxy-address-forwarding="true" conforme mostrado abaixo:
- Caso deseje restringir o tráfego de cookie de sessão em conexões seguras (HTTPS), basta incluir nas configurações do subsystem undertow a tag session-cookie informando o atributo secure ="true". (Opcional)
Bloco de código |
---|
language | xml |
---|
theme | Eclipse |
---|
title | domain.xml |
---|
| <subsystem xmlns="urn:jboss:domain:undertow:3.1">
<...>
<server name="default-server">
<http-listener max-post-size="1073741824" name="default" socket-binding="http" proxy-address-forwarding="true"/> <!-- 2- Adicionar nesta linha o atributo -->
<https-listener max-post-size="1073741824" name="https" secure="true" security-realm="TOTVSTech" socket-binding="https"/> <!-- 1- Incluir esta linha para validacao do certificado -->
<...>
</server>
<servlet-container name="default" stack-trace-on-error="local-only">
<...>
<session-cookie http-only="true" secure="true"/> <!-- 3- Incluir esta linha para restringir o trafego de cookie de sessao -->
</servlet-container>
<...>
</subsystem> |
|
Card |
---|
| - A partir da atualização 1.7.0 (Lake), a tag <security-realm> não existirá mais, porém pode ser incluída conforme desejo do usuário em habilitar o uso do HTTPS. Nesse caso, será preciso procurar a tag <security-realm> no arquivo host.xml.
Disponibilizamos as instruções de configuração do repositório de certificados no formato PKCS12 (p12) portanto, siga as instruções abaixo: - Incluir a tag <server-identities></server-identities> juntamente com <ssl> e o <keystore> conforme exemplicado no código abaixo;
- No atributo path, informe o diretório do repositório de certificados (keystore.p12).
- Em key-password e keystore-password, substitua a valor "suasenha" pela senha utilizada na criação do repositório de certificados (keystore).
Nota |
---|
| Em <security-realm name="ApplicationRealm"> também contém as configurações de certificado porém, suas informações não devem ser modificadas, deixando os valores padrões salvos. |
Bloco de código |
---|
language | xml |
---|
theme | Eclipse |
---|
title | host.xml |
---|
| <security-realm name="TOTVSTech">
<server-identities>
<ssl>
<keystore path="certs\fluig.p12" keystore-password="suasenha" key-password="suasenha" relative-to="jboss.domain.config.dir"/>
</ssl>
</server-identities>
</security-realm> |
Dica |
---|
O diretório "certs" se refere à pasta onde os certificados são guardados. Recomendamos que esse diretório seja criado dentro do volume, para evitar que, em uma atualização ou migração de tecnologia, a pasta seja afetada. Dúvidas sobre a utilização do OpenSSL ou sobre os comandos de exportação do PKCS12 (p12), consulte a FAQ Utilizando OpenSSL para configurar HTTPS. |
|
Card |
---|
|
- Iniciar novamente os serviços do Fluig em sua ordem correta (cache, caso estiver utilizando cache externo e.g: MemCached ou redis, fluig_indexer, fluig_RealTime e fluig).
- O acesso será realizado via HTTPS, na porta 8443.
|
|
...
Para isto, será necessário acessar a plataforma com o usuário wcmadmin, e nas configurações do sistema, na aba Portal, alterar o Protocolo para HTTPS. Caso não esteja utilizando um web server, é necessário também informar a Porta de acesso do servidor da plataforma. Para mais informações, consulte o help a documentação Gerenciar configurações do sistema.
...