Konfigurieren von SSL für die Arbeit mit Java-web-Anwendung auf Tomcat 5.5 server

Dies ist ein bisschen ein noob Frage, aber was brauche ich, um SSL zu arbeiten in meinem Java-web-Anwendung (standard-Art von Java-web-app mit Streifen für seine MVC-Implementierung, Spring und Hibernate)?

Ich bin die Bereitstellung von meine war-Datei auf dem Tomcat-5.5. Ich will nur SSL verwendet werden für bestimmte URLS - alle, die die übertragung der Benutzer-Passwort - also Konto-Anmeldung, Passwort ändern und login.

Kann ich nur brauchen, um ein SSL-Zertifikat und installieren Sie es in Tomcat? Wie Stelle ich sicher, wird https verwendet nur für einige URLs?

InformationsquelleAutor JMM | 2010-06-21
  1. 8

    Kann ich nur brauchen, um ein SSL-Zertifikat und installieren Sie es in Tomcat?

    Benötigt wird, und in der Tat müssen Sie einen gesicherten Anschluss.

    Wie Stelle ich sicher, wird https verwendet nur für einige URLs?

    Den Empfehlung zu verschlüsseln, form der Einreichung (d.h. absolute https:// urls in das entsprechende Formular action) aber auch Formular-Seiten selbst, wenn Sie verhindern wollen, dass Mann in der middle-Angriffe.

    So verwenden Sie "gesichert" absolute links, überall, das Sie brauchen, und erzwingen von SSL für bestimmte Inhalte mit Sicherheit Einschränkungen in Ihrem web.xml:

    <security-constraint>
    <web-resource-collection>
        <web-resource-name>Secure Area</web-resource-name>
        <url-pattern>/secure/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
    • +1 natürlich.. ich vergaß den security-constraint 🙂
    • Ich glaube nicht, dass ich wirklich verstehe ist dieser Teil: "Die Empfehlung der Verschlüsselung der Formulardaten (d.h. absolute https:// urls in das entsprechende Formular-Aktion) sondern auch die form der Einreichung Seiten selbst, wenn Sie verhindern wollen, dass Mann in der middle-Angriffe." Vielleicht ein Beispiel, wäre klar, was sich für mich?
    • Haben Sie versucht, Blick auf die Anfragen, die gesendet werden von Ihrem web-browser-sniffing-software wie Fiddler oder Wire-Shark? Jemals bemerkt, der Unterschied zwischen Ihren Anträgen und Anfragen, die Sie erhalten möglicherweise von professionellen websites wie facebook?
    • Der Unterschied ist, dass Ihre Anforderungen sind wohl nicht verschlüsselt und Sie können tatsächlich sehen, was Sie senden und facebook die Anfragen sind verschlüsselt und Sie können nicht sehen, was gesendet wird.
    InformationsquelleAutor Pascal Thivent
  2. 2

    Können Sie eine Filter Weiterleitungen an https:// für die URLs, die Sie wollen.

    InformationsquelleAutor Bozho
  3. 2

    Kann ich nur brauchen, um ein SSL-Zertifikat und installieren Sie es in Tomcat?

    Der Tomcat-Handbuch hat ein ziemlich einfach zu befolgende Anleitung, wie man ts auf.

    Wie Stelle ich sicher, wird https verwendet nur für einige URLs?

    Diese Logik muss in Ihrer Anwendung. Bozho Lösung würde sicher funktionieren, möglicherweise gibt es andere Lösungen, wenn Sie mit bestimmten web-frameworks oder nicht.

    InformationsquelleAutor matt b
  4. 1

    Ja, müssen Sie ein SSL-cert. Es kann entweder selbst-signiert oder ausgestellt von einer offiziell anerkannten Zertifizierungsstelle.

    Hier ist ein gutes tutorial über das Allgemeine setup von SSL in Tomcat und wie Sie die deployment-Deskriptor um SSL zu aktivieren : http://www.jroller.com/gmazza/entry/setting_up_ssl_and_basic

    InformationsquelleAutor Kai Sternad
Schreibe einen Kommentar