Tomcat criptografia via certificado

A maneira mais facil que eu encontrei eh fazer SSL no apache e fazer um proxy para o tomcat no localhost.

Faz assim:

-Adquira 1 certificado, gerado ou comprado.
-Configure um connector para ssl (na porta 443 ou 8443) os que vem no server.xml do tomcat são ok.
-Copie o certificado para ~HOME/.keystore ou configure o connector para apontar para o .keystore (dica, olhe a documentação do tomcat sobre isso)
-Se tiver utilizando um JDK anterios ao 1.4.0 instale JSSE (olhe em java.sun.com/products/jsse)

“louds”:

Faz assim:

-Adquira 1 certificado, gerado ou comprado.
-Configure um connector para ssl (na porta 443 ou 8443) os que vem no server.xml do tomcat são ok.
-Copie o certificado para ~HOME/.keystore ou configure o connector para apontar para o .keystore (dica, olhe a documentação do tomcat sobre isso)
-Se tiver utilizando um JDK anterios ao 1.4.0 instale JSSE (olhe em java.sun.com/products/jsse)

voce conseguiu fazer isto funcionar com um certificado assinado por um CA reconhecido? Tipo, para o explorer nao reclamar?

Não, porem eu não sei pq o procedimento para certificados caseiros não funcionaria com os assinados, já que ambos usam o mesmo formato.

Ahh, pode talvez existir alguma implicação caso o CA não esteja na lista de trusted CA’s do teu JRE.

“louds”:

Não, porem eu não sei pq o procedimento para certificados caseiros não funcionaria com os assinados, já que ambos usam o mesmo formato.

Ahh, pode talvez existir alguma implicação caso o CA não esteja na lista de trusted CA’s do teu JRE.

Entaum, por que com a verisign eu lutei lutei e acabei tendo que usar o certificado no apache com proxy pro tomcat, por que eles nao dao suporte para gerar o cert no formato do tomcat. E ai ja viu, nao funciona ne.

certificado ssl é certificado ssl, X509.3
Se eu lembro bem, o problema seria o formato do keystore do java “jks”, que não é padrão e o certificado vem em PKCS #10 né? Isso, acho eu, que mudou na 1.4.2 e tem o suporte necessario.

Vou fazer uma pergunta idiota, mas voce importou o certificado para o keystore do java ne?

:shock: era pra importar :?:

importei claro !

eu perdi alguns dias tentando fazer isto funcionar, como o tempo nao era “infinito” e o negocio tinha que ir pro ar. Tive a brilhante ideia de fazer o certificado no apache (que alias usa mutex e glibc com threads para handshake) deixar ele cuidar do layer de SSL que ele faz MUITO MELHOR que o tomcat, e proxie o layer HTTP pro apache.

BEWARE! No entanto, que nao eh assim tao simples. Todos os lugares que tinha URL’s nao relativas, phodeu, por que o server tava em http://www.mandic.com.br/cadastramento/ e as os urls tavam vindo com
http://localhost:1973/cadastramento/

IMHO, nao vale a pena usar o connector SSL no tomcat para fazer somente o layer SSL. O mod_ssl do apache eh bem mais rapido, muito mais testado e muito mais difundido por ai. Tipo ate os caras da verisign ja ouviram falar de ssl em apache. Voce fala pra eles “tem certificado pra tomcat?” eles provavlemnete vao responder: “Tomque?”

Curioso no mínimo, pq o tomcat não utlizar um formato especial de certificado.

Ou seja, pelo que voce ta falando, java não funciona com certificados ‘de verdade’, por assim dizer, oque seria algo realmente grave