Histórico da Página
...
Índice | |||||||||
---|---|---|---|---|---|---|---|---|---|
|
|
Objetivo
...
Serviços em HTTPS tem como objetivo garantir maior segurança no tráfego de arquivos entre cliente-servidor. Neste documento abordaremos a configuração SSL do servidor de aplicação jetty, utilizado na Replicação de Documentos, que será utilizado juntamente com o Fluig quando o JBoss WildFly estiver com o certificado SSL também ativo.
Nota | ||
---|---|---|
| ||
Os procedimentos descritos neste guia foram testados e homologados na versão 9.4.8.v20171121 do Jetty |
Configurar SSL para Jetty
...
- Gerar as chaves e os certificados auto-assinados (caso não possua o certificado).
Carregar chaves e certificados.
Configurar sslContextFactory.
...
Gerando as chaves e os certificados auto-assinados
O caminho mais fácil para gerar as chaves e os certificados é usar a ferramenta keytool que vem na instalação da JDK.
Informações | ||
---|---|---|
| ||
Se você já possui as chaves e os certificados vá direto para o passo, Carregando as chaves e certificados, afim de verificar como carregá-los para dentro do keystore JSSE. Esta seção também se aplica no caso de renovação de certificados onde você deseja substituir um certificado que está expirando. |
O exemplo abaixo gera somente chaves e certificados básicos. Você deve acessar a documentação do Jetty se precisar especificar o seguintes itens:
- O tamanho da chave
- A data de expiração do certificado
- Alterar a segurança dos providers
...
Gerando chaves e certificados com keytool do JDK
O comando a seguir gera as chaves e o certificado diretamente no arquivo keystore
:
Bloco de código | ||
---|---|---|
| ||
$ keytool -keystore keystore -alias jetty -genkey -keyalg RSA |
- Preencha todos as informações solicitadas e ao final digite
...
- sim
...
- e pressione Enter para confirmar.
Estes certificados auto-assinados não são válidos externamente.
Carregando chaves e certificados
...
Se um certificado CA lhe foi enviado, ou se você gerou o seu próprio certificado sem keytool
, você precisa carregá-lo em um keystore JSSE.
Carregando Certificados com keytool
Você pode usar o keytool
para carregar um certificado no formato PEM diretamente em um keystore. O formato PEM é uma codificação de texto de certificados; é produzido pela OpenSSL, e é devolvido por alguns CAs. Um exemplo de arquivo PEM é:
Bloco de código | ||
---|---|---|
| ||
jetty.crt ----- BEGIN CERTIFICATE ----- MIICSDCCAfKgAwIBAgIBADANBgkqhkiG9w0BAQQFADBUMSYwJAYDVQQKEx1Nb3J0 IEJheSBDb25zdWx0aW5nIFB0eS4gTHRkLjEOMAwGA1UECxMFSmV0dHkxGjAYBgNV BAMTEWpldHR5Lm1vcnRiYXkub3JnMB4XDTAzMDQwNjEzMTk1MFoXDTAzMDUwNjEz MTk1MFowVDEmMCQGA1UEChMdTW9ydCBCYXkgQ29uc3VsdGluZyBQdHkuIEx0ZC4x DjAMBgNVBAsTBUpldHR5MRowGAYDVQQDExFqZXR0eS5tb3J0YmF5Lm9yZzBcMA0G CSqGSIb3DQEBAQUAA0sAMEgCQQC5V4oZeVdhdhHqa9L2 / ZnKySPWUqqy81riNfAJ 7uALW0kEv / LtlG34dOOcVVt / PK8 / bU4dlolnJx1SpiMZbKsFAgMBAAGjga4wgasw HQYDVR0OBBYEFFV1gbB1XRvUx1UofmifQJS / MCYwMHwGA1UdIwR1MHOAFFV1gbB1 XRvUx1UofmifQJS / MCYwoVikVjBUMSYwJAYDVQQKEx1Nb3J0IEJheSBDb25zdWx0 aW5nIFB0eS4gTHRkLjEOMAwGA1UECxMFSmV0dHkxGjAYBgNVBAMTEWpldHR5Lm1v cnRiYXkub3JnggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADQQA6NkaV OtXzP4ayzBcgK / qSCmF44jdcARmrXhiXUcXzjxsLjSJeYPJojhUdC2LQKy + p4ki8 Rcz6oCRvCGCe5kDB ----- END CERTIFICATE ----- |
Utilizando certificados com extensão .crt
Se você já possui um certificado com a extensão .crt e a senha para acessá-lo utilize o comando abaixo. Este comando a seguir carrega o conteúdo do arquivo .crt para dentro do arquivo keystore JSSE:
Bloco de código | ||
---|---|---|
| ||
$ keytool -keystore keystore -import -alias jetty -file [nome_do_arquivo].crt -trustcacerts |
Ao executar o comando acima digite uma senha ('não pode ser deixado em branco)'. Esta é a senha de acesso ao arquivo keystore.
Utilizando certificados com extensão .p12
Se você possui um certificado com a extensão .p12 utilize o comando abaixo. Este comando a seguir carrega o conteúdo do arquivo .crt para dentro do arquivo keystore JSSE:
Bloco de código | ||
---|---|---|
| ||
$ keytool -importkeystore -srckeystore [nome_do_arquivo].p12 -srcstoretype PKCS12 -destkeystore keystore |
Ao executar o comando acima lhe será solicitado uma senha ('não pode ser deixado em branco)'. Esta é a senha de acesso ao arquivo keystore.
Será solicito uma segunda senha, esta é a de acesso ao certificado, guarde as duas senha.
É necessário copiar o arquivo keystore do local onde foi gerado para dentro da pasta [instalação do jetty]/etc
Configurando SslContextFactory
No arquivo jetty-ssl.xml deve ser adicionado o bloco de código abaixo. Caso já exista altere somente os parâmetros que estão em negrito.
O arquivo jetty-ssl.xml se encontra na pasta [instalação do jetty]/etc
Bloco de código | ||
---|---|---|
| ||
<New id="sslContextFactory" class="org.eclipse.jetty.util.ssl.SslContextFactory">
<Set name="KeyStorePath"><Property name="jetty.home" default="." />/etc/keystore</Set>
<Set name="KeyStorePassword">[senha_keystore]</Set>
<Set name="KeyManagerPassword">[senha_keystore]</Set>
<Set name="TrustStorePath"><Property name="jetty.home" default="." />/etc/keystore</Set>
<Set name="TrustStorePassword">[senha_certificado]</Set>
</New> |
Bloco de código | ||
---|---|---|
| ||
etc/jetty-ssl.xml
etc/jetty-https.xml |
Para alterar a porta https abra o arquivo jetty-https.xml:
Bloco de código | ||
---|---|---|
| ||
<Set name="port">8443</Set> |
Configurando SslContextFactory
O Jetty permite que seja criado um diretório específico para realizar as configurações, assim é possível manter uma separação entre os arquivos binários de instalação ($JETTY_HOME) e as configurações personalizadas ($JETTY_BASE). Veja mais detalhes em Gerenciando Jetty Home e Jetty Base
Configuração em sistemas Linux:
Deck of Cards | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||
|
Configuração específica para Jetty no Windows
É necessário adicionar o parâmetro abaixo no momento em que o Jetty será iniciado:
-Dfile.encoding=UTF-8 -Djavax.net.ssl.trustStore=[caminho do arquivo keystore gerado]
Para iniciar o Jetty basta digitar no terminal do Windows o seguinte comando:
java -Dfile.encoding=UTF-8 -Djavax.net.ssl.trustStore=[caminho do arquivo keystore gerado] -jar start.jar
Configuração específica para Jetty no Linux
Abaixo está o código do serviço Linux para iniciar, parar ou reiniciar o serviço do Jetty, a execução desse trecho de código cria um serviço com o nome contido no atributo processname.
Bloco de código | ||||
---|---|---|---|---|
| ||||
#!/bin/sh
# chkconfig: 3 99 99
# description: Fluig Jetty
# processname: fluig-jetty
# Source function library.
if [ -z /etc/init.d/functions ]; then
. /etc/init.d/functions
fi
export NO_START=0
export JETTY_HOME=/root/totvs/replication/jetty-distribution-9.2.2.v20140723
export JAVA_OPTIONS=-Dfile.encoding=utf-8
echo "JAVA_OPTIONS >> $JAVA_OPTIONS"
export LANG=pt_BR.UTF-8
echo $LANG
. $JETTY_HOME/bin/jetty.sh $1 $2 $3 $4 $5 |
Para iniciar um serviço no Linux é necessário abrir um terminal e ter permissões de usuário administrador (root user)
Bloco de código | ||
---|---|---|
| ||
$ sudo service fluig-jetty start |
Comando para interromper o serviço:
Bloco de código | ||
---|---|---|
| ||
$ sudo service fluig-jetty stop |
Comando para reiniciar o serviço:
Bloco de código | ||
---|---|---|
| ||
$ sudo service fluig-jetty restart |
Observações
Após finalizar as configurações do Jetty em HTTPS é necessário revisar toda a configuração para confirmar que todas as URLs foram alteradas. Lembre-se de verifica no painel WCM Admin na Opção Painel de Controle > Localidades.
Verificar também dentro do arquivo web.xml que fica em volume.war > WEB-INF > web.xml.