Páginas filhas
  • Habilitar protocolo HTTPS no PIMSConnector

Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Para habilitar o acesso

...

HTTPS no PIMSConnector, será necessário

...

importar o certificado *.cer para um certificado *.keystore e configurá-lo na instalação do JBoss.

Importando

...

certificado *.cer para certificado *.keystore.

Para converter o certificado (cer) para o formato .keystore, será necessário utilizar o software keytool. O software Keystore está localizado na diretorio de instalação do Java (7), presente no pacote do PIMSConnector

...

Determinado certificado, obtido de uma Autoridade Certificadora no formato *.cer, deve ser importado para o arquivo *.keystore através do utilitário keytool que acompanha a distribuição do JDK, localizado no diretório PIMSCONNECTOR_HOME\PIMSConnector\jdk7\bin. Para importar o certificado, execute os seguintes passos:

Passo 1. Acesse o diretório bin do JDK via prompt:

Bloco de código
languagepowershell
cd $PIMSCONNECTOR

...

_HOME\PIMSConnector\jdk7\bin\

...

Passo 2. Execute o utilitário keytool, informando os seguintes parâmetros:

Bloco de código
languagepowershell
keytool -import -alias pims_key -keystore 

...

$JBOSS_PIMSCONECTOR_HOME/server/INSTANCIA/conf/NOME_CHAVE.keystore -storepass SENHA_CHAVE -trustcacerts -file $ENDERECO_DO_CERTIFICADO/certificado_valido.cer
  • Configuração no JBOSS 

Precisaremos ajustar o arquivo server.xml responsável por indicar a configuração do arquivo de certificado, bem como a senha utilizada. Por padrão, enviamos um certificado auto assinado (prx.keystore), que está localizado no diretório abaixo; 

  • Localização do arquivo 

Configurando instalação do JBoss com certificado *.keystore importado 

A instalação do PIMSConnector já contém um certificado *.keystore com nome prx.keystore, localizado em $JBOSS_PIMSCONECTOR_HOME\server\INSTANCIA\conf\prx.keystore. Esse certificado está configurado em um conector SSL/TSL no arquivo $JBOSS

...

_PIMSCONECTOR_HOME\PIMSConnector\jboss-6.1.0.pimsconnector\server\INSTANCIA\deploy\jbossweb.sar\server.xml

...

, conforme seguinte trecho:

Bloco de código
languagexml
themeEclipse
firstline24
titleArquivo server.xml - Padrão
linenumberstrue
 		<!-- SSL/TLS Connector configuration using the admin devl guide keystore-->
		<Connector protocol="HTTP/1.1" SSLEnabled="true" 
           port="${jboss.web.https.port}" address="${jboss.bind.address}"
           scheme="https" secure="true" clientAuth="false" 
           keystoreFile="${jboss.server.home.dir}/conf/prx.keystore"
           keystorePass="SenhaSENHA" sslProtocol = "TLS"
		   ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, 
					TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, 
					TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, 
					SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"		   />

...

O arquivo prx.keystore é um certificado auto-assinado, gerado localmente via utilitário keytool, e contém validade apenas para uso interno. Portanto, deve-se atualizar a configuração do conector SSL/TSL com o novo certificado *.keystore importado durante execução dos passos na sessão anterior. 

Para atualizar a configuração, altere o valor dos atributos a seguir, conforme descrição:

    • keystoreFile - Informar a localização
  • e nome
    • do novo arquivo *.keystore
  • definida no processo de conversão 
    • , importado do certificado *.cer;
    • keystorePass - Informar a senha definida
  • no processo de conversão 
    • na importação do certificado; e
    • ciphers - Remover
  • essa sessão 
    • esse atributo do conector, para que o JBoss utilize o valor default.

Após a atualização, a configuração do conector deverá estar da seguinte forma:

Bloco de código
languagexml
themeEclipse
firstline24
titleArquivo server.xml - Modificado
linenumberstrue
 		<!-- SSL/TLS Connector configuration using the admin devl guide keystore-->
		<Connector protocol="HTTP/1.1" SSLEnabled="true" 
           port="${jboss.web.https.port}" address="${jboss.bind.address}"
           scheme="https" secure="true" clientAuth="false" 
           keystoreFile="${jboss.server.home.dir}/conf/NOME_CHAVE.keystore"
           keystorePass="SENHA" sslProtocol = "TLS"	   />

C:\DANCO\PIMSConnector\jboss-6.1.0.pimsconnector\server\PRD\deploy\jbossweb.sar\server.xml

  • Convertendo certificado *.cer para *.keystore.

Para converter o certificado (cer) para o formato .keystore será necessário utilizar o utilitário keytool. O Keystore é um utilitário presente na

keytool -import -alias jeve_key -keystore $JBOSS_HOME/server/default/conf/jeve.keystore -trustcacerts -file $ENDERECO_DO_CERTIFICADO_VALIDO/certificado_valido.cer

Por padrão, o JBoss que disponibilizamos para a instalação do PIMSServer já está preparado para utilizar SSL (Secure Socket Layer). Esta configuração está no arquivo server.xml (o caminho para ele pode variar dependendo da localização da instalação):

C:\proxima\jboss-pimsserver\server\default\deploy\jbosswebtomcat50.sar\server.xml

Neste arquivo será possível visualizar um trecho igual ao seguinte:

Este trecho é responsável por indicar a configuração do arquivo de certificado, bem como a senha utilizada. Por padrão, enviamos um certificado auto assinado (prx.keystore), que está localizado no diretório abaixo (lembrando que a localização deste diretório pode mudar de acordo com sua instalação):

C:\proxima\jboss-pimsserver\server\default\conf

Este certificado serve apenas para testes. Cada cliente deve entrar em contato com uma entidade certificadora que lhe forneça um certificado válido e reconhecido pelos navegadores. O processo de solicitação e geração destes certificados junto à entidade podem variar, portanto é importante que o cliente siga os procedimentos indicados pela empresa que contratar. É importante também que o cliente deixe claro, ao fazer a solicitação, que o certificado será utilizado em um servidor de aplicações Java (JBoss, Tomcat).

Uma vez recebido o certificado, o mesmo deve ser copiado para o diretório conf (indicado acima) e o trecho de configuração indicado no arquivo server.xml deve ser alterado, para apontar o novo arquivo e senha.

Abaixo uma imagem da página de login da aplicação depois de uma solicitação utilizando o protocolo HTTPS:

Além de indicar o protocolo https, é necessário utilizar a porta 8543 para acessar a aplicação, quando a configuração está utilizando a porta default para http (8080). Se houver variação na configuração das portas, um consultor TOTVS deverá lhe informar qual a porta adequada para o acesso.

...

Aviso
titlePonto de Atenção
  • A porta usada para acesso HTTPS é

...

  • o número da porta atual do PIMSConnector com a adição

...

  • de 363. Por exemplo, se o PIMSConnector

...

  • estiver configurado na porta HTTP 8080, então a porta HTTPS será a 8443. Para acessar

...

  • o PIMSConnector via HTTPS, para um servidor configurado com HTTP na porta 8080, digite https://host:8443/PIMSConnector na barra de endereço do navegador, trocando o host pelo IP do servidor.
  • O navegador poderá exibir uma mensagem de certificado digital não confiável ao tentar abrir esse endereço, caso o servidor esteja ainda configurado com o certificado auto-assinado, prx.keystore

Além de indicar o protocolo https, é necessário utilizar a porta 8543 para acessar a aplicação, quando a configuração está utilizando a porta default para http (8080). Se houver variação na configuração das portas, um consultor TOTVS deverá lhe informar qual a porta adequada para o acesso.

O PIMSConnector possui acesso HTTPS. A porta usada para acesso HTTPS é a porta atual do PIMSConnector com a adição do 443, ou seja, se o PIMSConnector está configurado na porta 8080, a porta HTTPS será a 8443. Para acessar via HTTPS digite na barra de endereço do navegador https://localhost:8443/PIMSConnector onde localhost é o IP do servidor e a porta 8443 é a porta configurada somada de 443.

...

Além de indicar o protocolo https, é necessário utilizar a porta 8543 para acessar a aplicação, quando a configuração está utilizando a porta default para http (8080). Se houver variação na configuração das portas, um consultor TOTVS deverá lhe informar qual a porta adequada para o acesso.

...

  • .