Ola pessoal,
estou com uma dúvida sobre o tomcat, queria saber como configurar o tomcat para trafegar com criptografia via certificado (https).
Se alguem poder responder ficarei muit grato
ATT++
A maneira mais facil que eu encontrei eh fazer SSL no apache e fazer um proxy para o tomcat no localhost.
Faz assim:
-Adquira 1 certificado, gerado ou comprado.
-Configure um connector para ssl (na porta 443 ou 8443) os que vem no server.xml do tomcat são ok.
-Copie o certificado para ~HOME/.keystore ou configure o connector para apontar para o .keystore (dica, olhe a documentação do tomcat sobre isso)
-Se tiver utilizando um JDK anterios ao 1.4.0 instale JSSE (olhe em java.sun.com/products/jsse)
[quote=“louds”]Faz assim:
-Adquira 1 certificado, gerado ou comprado.
-Configure um connector para ssl (na porta 443 ou 8443) os que vem no server.xml do tomcat são ok.
-Copie o certificado para ~HOME/.keystore ou configure o connector para apontar para o .keystore (dica, olhe a documentação do tomcat sobre isso)
-Se tiver utilizando um JDK anterios ao 1.4.0 instale JSSE (olhe em java.sun.com/products/jsse)[/quote]
voce conseguiu fazer isto funcionar com um certificado assinado por um CA reconhecido? Tipo, para o explorer nao reclamar?
Não, porem eu não sei pq o procedimento para certificados caseiros não funcionaria com os assinados, já que ambos usam o mesmo formato.
Ahh, pode talvez existir alguma implicação caso o CA não esteja na lista de trusted CA’s do teu JRE.
[quote=“louds”]Não, porem eu não sei pq o procedimento para certificados caseiros não funcionaria com os assinados, já que ambos usam o mesmo formato.
Ahh, pode talvez existir alguma implicação caso o CA não esteja na lista de trusted CA’s do teu JRE.[/quote]
Entaum, por que com a verisign eu lutei lutei e acabei tendo que usar o certificado no apache com proxy pro tomcat, por que eles nao dao suporte para gerar o cert no formato do tomcat. E ai ja viu, nao funciona ne.
certificado ssl é certificado ssl, X509.3
Se eu lembro bem, o problema seria o formato do keystore do java “jks”, que não é padrão e o certificado vem em PKCS #10 né? Isso, acho eu, que mudou na 1.4.2 e tem o suporte necessario.
Vou fazer uma pergunta idiota, mas voce importou o certificado para o keystore do java ne?
:shock: era pra importar :?:
importei claro !
eu perdi alguns dias tentando fazer isto funcionar, como o tempo nao era “infinito” e o negocio tinha que ir pro ar. Tive a brilhante ideia de fazer o certificado no apache (que alias usa mutex e glibc com threads para handshake) deixar ele cuidar do layer de SSL que ele faz MUITO MELHOR que o tomcat, e proxie o layer HTTP pro apache.
BEWARE! No entanto, que nao eh assim tao simples. Todos os lugares que tinha URL’s nao relativas, phodeu, por que o server tava em http://www.mandic.com.br/cadastramento/ e as os urls tavam vindo com
http://localhost:1973/cadastramento/
IMHO, nao vale a pena usar o connector SSL no tomcat para fazer somente o layer SSL. O mod_ssl do apache eh bem mais rapido, muito mais testado e muito mais difundido por ai. Tipo ate os caras da verisign ja ouviram falar de ssl em apache. Voce fala pra eles “tem certificado pra tomcat?” eles provavlemnete vao responder: “Tomque?” 
Curioso no mínimo, pq o tomcat não utlizar um formato especial de certificado.
Ou seja, pelo que voce ta falando, java não funciona com certificados ‘de verdade’, por assim dizer, oque seria algo realmente grave