obi-wan-belix
Goto Top

Linux - Apache, Tomcat, Java Keystore, SSL

Hallo zusammen,

ich bin neu im Serverumfeld und habe bei einem Projekt schlichtweg Verständnisschwierigkeiten.
Ich habe mich im Netz schon umgesehen und die Konfiguration eines httpd virtual host oder apachen(server.xml) ist für mich generell alles klar.
Jedoch bei dem Thema Zertifikate finde ich keinen Ansatz um das mal komplett zu verstehen.

Mein Projekt:

1 x Server mit CentOS8
1 x bereitgestellte Zertifikate vom Chef(cert.cabundle und certificate.crt)

Auf dem Server läuft eine Anwendung(nennne ich jetzt nicht da es nicht bestandteil meines Problems ist.)

Ich habe bisher herausgefunden dass ich entweder einen Apachen httpd "davor" schalte und per virtual host dann meine Zertifikate einbinde.
Oder eben direkt über den Java Keystore....dieser ist mir aber total unklar da in jeder Beschreibung von anderen Typen oder Zertifikat Files gesprochen wird.

Mein erster Ansatz:
Ich habe mich an diese Anleitung gehalten...https://confluence.atlassian.com/adminjiraserver073/running-jira-applica ...
Ich sehe auch mit netstat -an|Listen dass meine Applikation am Port 8443 horcht. Ich kann die Applikation aber nicht öffnen?(mit browser).

server.xml:
<Connector port="8443" relaxedPathChars="|" relaxedQueryChars="|{}^&#x5c;&#x60;&quot;&lt;&gt;"   
                   maxThreads="150" minSpareThreads="25" connectionTimeout="20000" enableLookups="false"  
                   maxHttpHeaderSize="8192" SSLEnable="true" sslEnabledProtocols="TLSv1.2, TLSv1.3"    
	           clientAuth="false" keyAlias="root"  keystoreFile="<pfad zu keystore>" keystorePass="<pass von keystore>" protocol="HTTP/1.1" useBodyEncodingForURI="true" redirectPort="443"  
                   acceptCount="100" disableUploadTimeout="true" bindOnInit="false" secure="true" scheme="https"  
                   proxyName="<Domäne>" proxyPort="443"/>  
Mal ne doofe Frage. Per Browser rufe ich hier Applikation.domände.de:8443 auf. anhand dem Parameter redirectPort sollte es doch auf 443 also https switchen.....oder?

1. Könnte mir jemand das mit dem redirect Port erläutern?
2. Wie kann ich prüfen ob das Zertifikat korrekt zieht?
3. Wieso lasse ich den Connector nicht auf 443 laufen(probierte es aber finde dann unter netstat -an nichts

Wäre super wenn hier jemand Struktur in mein Brain bekommt.

Content-ID: 522210

Url: https://administrator.de/contentid/522210

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

0x32f1
0x32f1 05.12.2019 um 19:02:58 Uhr
Goto Top
Tue mich etwas schwer damit, deine server.xml zu lesen, hat's da beim Einfügen was zerhauen? Nutze bitte die Code-Funktion.

Zertifikate: Anhand der Dateinamen würde ich sagen, dir fehlt der Private Key.

JKS Keystore: Kannst du dir z.B. einfach mit einem GUI-Tool wie "KeyStore Explorer" klicken: https://keystore-explorer.org/ ansonsten nimmst du keytool von Oracle in der Kommandozeile.

Um das nicht unnötig kompliziert zu machen und um nicht an mehreren Stellen konfigurieren zu müssen, würde ich in der server.xml die Anwendung exklusiv auf 443 (statt 8443) laufen lassen, ein jks keystore verwenden und für http/80 einen einfach einen Redirect auf 443 einrichten, damit die Anwendung nur per HTTPS erreichbar ist. Um bei Atlassian zu bleiben: Zumindest mit Confluence funktioniert das.

Stell mal deine Config sauber ein, dann gleich ich das bei Gelegenheit nochmal mit einer funktionierenden ab. Hab die gerade nicht zur Hand.