1. Configurar Tomcat para https
Segun Namecheap podemos instalar en Tomcat certificados .jks y tembién .p12 (pkcs12)
1.a con certificado jks
Supongamos que tenemos un certificado p12 llamado mykeystore.jks con contraseña "mypassword", entonces:
Modificamos el conector en el fichero server.xml de la carpeta conf de tomcat y para el puerto 8443 para que quede así
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | <!-- Define a SSL HTTP/1.1 Connector on port 8443 This connector uses the JSSE configuration, when using APR, the connector should be using the OpenSSL style configuration described in the APR documentation --> <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" <!-- true to read client certificate --> sslProtocol="TLS" <!--"TLSv1.2" --> keyAlias="tomcat" <!-- Alias cuando se crea mykeystore,jks --> keystoreFile="/home/ximo/mykeystore.jks" keystorePass="mypassword" /> |
Y ahora vamos al directorio "bin" del tomcat y paramos y rearrancamos el servicio
./shutdown.sh
./startup.sh
1.b con certificado pem
Supongamos que hemos obtenido de LetsEncrypt, estos certificados que estan en la carpeta /etc/letsencrypt/live/midominio.es
- cert.pem (certificado "solo")
- chain.pem (cadena de certificados del root)
- fullchain.pem (certificado "solo" + cadena de certificados del root. Equivale a los 2 ficheros anteriores juntos)
- privkey.pem (clave privada)
Modificamos el conector en el fichero server.xml de la carpeta conf de tomcat y para el puerto 19443 para que quede así
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | <Connector port="19443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" sslProtocol="TLS" clientAuth="true" keyAlias="tomcat" SSLCertificateFile="/etc/letsencrypt/live/midominio.es/cert.pem" SSLCertificateChainFile="/etc/letsencrypt/live/midominio.es/chain.pem" SSLCertificateKeyFile="/etc/letsencrypt/live/midominio.es/privkey.pem" /> |
Como vemos,:
- No nos ha hecho falta el fullchain.pem
- Tampoco nos ha hecho falta ninguna contraseña
- Estamos trabajando en un puerto https adicional 19443 (junto con el anterior 8443) sin ningún problema
Y ahora vamos al directorio "bin" del tomcat y paramos y rearrancamos el servicio
./shutdown.sh
./startup.sh
2. Obtener un certificado jks versión fácil
Para ello hay que seguir las instrucciones de Mkyong :
Nos situamos en el directorio /home/ximo/mycerts y creamos un keystore con un certificado auto firmado:
keytool -genkey -alias tomcat -keyalg RSA -keystore mykeystore.jks
OJO: El alias tomcat del mykeystore es el que se debe de indicar en el "keyAlias" del web.xml del tomcat
nos pide una nueva contraseña para el nuevo keystore por ejemplo "mypassword"
podemos listar el contenido del keystore con
keytool -list -v -keystore mykeystore.jks
3. Obtener un certificado jks con un certificado emitido por nuestra entidad certificadora.
Aprovechamos todos los pasos anteriores y generamos el Certificate Signing Request CSR. Para ello volvemos al directorio /home/ximo/mycerts y tecleamos
keytool -certreq -alias tomcat1 -file mytomcat.csr -keystore mykeystore.jks
Observar que el alias el mismo que hemos creado antes (tomcat) y nos ha creado el fichero mytomcat.csr
OJO: Para obtener cada una de las DNS, debemos hacer este comando:
nslookup 192.168.2.2
siendo 182.168.2.2 la dirección IP del servidor que queremos crear el certificado, y nos devuelve:
ws.ximodante.es
otro.ximodante.es
Y con esta información de los DNS creamos el fichero de configuración siguiente (mytomcat.conf):
authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = 192.168.2.2 DNS.2 = localhost --> SOLO PARA PUEBAS en PRE
DNS.3 = otro.ximodante.esDNS.4 = ws.ximodante.es
Por tanto debeis cambiar a la IP que realmente está usando el servidor
Ahora generamos el certificado
openssl x509 -req -in mytomcat.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out mytomcat.crt -days 825 -sha256 -extfile mytomcat.conf
Hay que tener en cuenta que debemos disponer de los certificados de nuestra entidad certificadora (myCA.key y myCA.pem) obtenidos en el post anterior.
Finalmente importamos el certificado generado usando el mismo alias "tomcat" a nuestro almacén de claves.
keytool -import -alias tomcat1 -file mytomcat.crt -keystore mykeysore.jks
Y rearrancamos el servicio de Tomcat como hemos hecho antes:
./shutdown.sh
./startup.sh
Y si entramos en el navegador se quejará, salvo que le indiquemos al navegador que confie en nuestra entidad certificadora.
4. Autentificación en el servidor con certificado de cliente.
Si queremos que el cliente nos muestre su certificado, hay que indicarle en la línea 11 del fragmento anterior de servers.xml:
clientAuth="true"
Con lo que nos pide el certificado de cliente y podemos autenticarnos en el servidor mediante certificado.
5. Autentificación en el servidor con tarjeta criptográfica (en cliente).
Cuando se intenta acceder con tarjeta criptográfica en el cliente, nos da este error en el cliente:SSL_ERROR_BAD_CERT_ALERT
Supongo que tal vez haya que indicar un truststore que contenga el certificado raíz.Parece ser que tomcat utiliza el alacen de certificados de java.
Se va a copiar el fichero keystore java_path/lib/security/cacerts a una carpeta de pruebas y con el programa keystore explorer, añadimos los certificados raiz de la etidad certificadora de la tarjeta obtenidas de la ACCV
En concreto añadimos el certificado raiz, los 110 y 120
y vamos a modificar el server.xml para que tenga un truststore
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the JSSE configuration, when using APR, the
connector should be using the OpenSSL style configuration
described in the APR documentation -->
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false" <!-- true to read client certificate -->
sslProtocol="TLS" <!--"TLSv1.2" -->
keyAlias="tomcat" <!-- Alias cuando se crea mykeystore,jks -->
keystoreFile="/home/ximo/mykeystore.jks"
keystorePass="mypassword"
/>
6. Configurar el tomcat de Eclipse.
"If you've already created the server, you can edit the server.xml template it copies. If you use the project explorer, It is under Other Projects->Servers->Tomcat Server Name->server.xml"
Así de fácil localizamos el server.xml y lo configuramos como si fuera un tomcat normal.