Arquivo Discussoes de Programacao e Tecnologia Pessoal.
Estou prescisando da ajuda de vcs.
Necessito configurar o tomcat para usar ssl em um determinado contexto.
Pois quando o usuário requisita a aplicação a mesma exibe o certificado do servidor e em seguida solicita o certificado do usuário para fazer a identificação do usuário diante da aplicação.
Se alguem tiver alguma idéia ou exemplo já pronto, por favor me envie, pois necessito fazer um trabalho para a faculdade.
Estou no aguardo…
Atenciosamente
Quando você disse que era para “um trabalho para a faculdade” fiquei um pouco desanimado de ajudar, mas vamos lá.
Certifique que está usando uma máquina virtual java 1.3 ou superior.
Baixe a biblioteca JSSE 1.0.3 (ou superior) aqui .
Coloque essa biblioteca (um arquivo jar) num diretório bem arejado. 
Configure uma variável de ambiente JSSE_HOME para o diretório que você escolheu.
Vá na linha de comando e digite:
$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA, no linux.
Use uma password diferente de “changeit” 
Pois é a que todo mundo usa.
Entre no arquivo $CATALINA_HOME/conf/server.xml, onde $CATALINA_HOME é seu diretório onde está instalado o Tomcat. Descomente onde houver um “SSL HTTP/1.1 Connector”
Reinicie o Tomcat.
Entre em seu navegador e teste sua aplicação usando https ao invés de http.
Vinci, desde já agradeço.
Más quando falei em faculdade, omiti que estou fazendo um trabalho para a pós e não a graduação, mas em relação ao java estou começando. :oops:
Más o que vc me indicou, eu já havia feito e com o JDK 1.4.1_02, no qual já está incorporado a biblioteca JSSE 1.0.3.
Talvez o que não ficou bem claro, é que, tanto a aplicação (servidor) e o cliente tem que apresentar seus certificados para troca de chaves publicas para encriptar e desencriptar (desafio) uma mensagem que foi criptografada com as chaves privadas dos certificados.
Se ao final desse desafio, a mensagem enviada para o cliente criptografada com a chave privada do servidor, for a mesma mensagem encriptada pelo cliente com a sua chave privada, então o usuário terá acesso a aplicação.
E no exemplo que vc me passou, somente o servidor se autentica frente ao cliente.
Se alguem puder me ajudar, estou no aguardo.
Desde de já agradeço ao Vinci, pela ajuda e a todos que poderão me ajudar…
Atenciosamente [/url]
Quanto você falou em tomcat, estou supondo que seu cliente será um navegador.
Sim, sei que isso não é obrigatório, que você pode até embutir o tomcat numa aplicação qualquer e tal. Mas isso não é tão comum.
Agora, se seu cliente for mesmo fino, eu acho que não tem como ser autenticado. Afinal, não vai ter como carregar a chave do HD… :???:
Más segundo o mestre da disciplina de segurança da pós, disse que isso era possível de se fazer, e propos para toda a turma o implementa-se como trabalho final da mesma.
Se você ou algum amigo seu conseguir isso, tem como postar aqui?
Veja bem, estou falando de cliente fino. Talvez você consiga isso fazendo manualmente um upload do arquivo e processar a encriptação. Mas usando JSP, onde todo o processamento é no servidor, que segurança você espera por parte do cliente? Estou pagando para ver. :???: