У меня есть веб-приложение Java, работающее на виртуальной машине Debian в GCE.Я не уверен, имеет ли это отношение (я не думаю, что это так, на всякий случай) - я использую Vaadin 8 в этой системе, и поэтому любые HTTP-вызовы к нему обрабатываются сервлетом Vaadin.
Для сертификации SSL я запустил openssl команды в самоподписанном SSL-сертификате на GCE - «SSL-сертификат не может быть проанализирован» , чтобы получить авторизацию CA и самостоятельно генерировать SSL-сертификацию,Таким образом, я сертифицирую свой SSL, сначала будучи сертифицированным органом.
После того, как команды в самозаверяющем SSL-сертификате на GCE - «SSL-сертификат не может быть проанализирован» , я следовал инструкциям на https://tomcat.apache.org/tomcat-8.5-doc/ssl-howto.html и сделал следующее:
без ошибок запустил следующие две команды:
keytool -genkey -alias myalias -keyalg RSA
openssl pkcs12 -export -in mySite.com.pem -inkey mySite.com.key -out mycert.p12 -name myalias -CAfile msite.CA.pem -caname root -chain
Вторая команда сгенерировала mycert.p12 в каталоге.
Я тогда настроил server.xml.Ниже приведены все теги configuration, которые есть в server.xml.
<Service name="Catalina">
<Connector
protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/root/.keystore" keystorePass="myPasswd"
clientAuth="false" sslProtocol="TLS"/>
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
<Connector port="443" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
…
</Service>
Заменены на каталог server.xml в conf Tomcat.Перезапущенный Tomcat.Вызвал мое приложение в Firefox - все еще вижу предупреждение SSL:
Насколько я вижу, это не сработало, потому что
- Я что-то упустил в конфигурации сертификата на Tomcat - не уверен, что все правильно сделал на
server.xml.Я не делал ничего в другом месте на Tomcat. - Я все сделал правильно, но Firefox не принимает SSL, подписанный неизвестным органом.
Я не уверен (2) может быть.блоги, которые я читаю, говорят, что создание файла .pem связывает его с опубликованными центрами сертификации и должно быть в порядке (?)
Любая помощь будет принята с благодарностью.это тратит мое время на несколько дней - я не очень разбираюсь в SSL или каких-либо вопросах безопасности - даже не знаю, куда идти отсюда!
Примечание: замечено Установка SSL-сертификата на JBoss срединекоторые другие полезные обсуждения.
// ----------------
РЕДАКТИРОВАТЬ:
пожалуйста, обратите внимание;Я не вижу ошибок на catalina.out.
// ----------------
EDIT-2:
Я получаю предупреждение безопасности выше (скриншот), когда я звоню по http:// .. в Firefox.вызов https://.. дает следующую ошибку:
