SSL certifikát na lokále v Apache Tomcat silnější než SHA-1
Už delší dobu mě otravovala při vývoji webu na lokále "Apache Tomcat 2.4" v konzoli prohlížeče hláška, že Tato stránka používá certifikát SHA-1. Doporučuje se používat certifikáty, které na podepisování používají silnější hashovací funkce než je SHA-1.
Abych se této hlášky zbavil, začal jsem pátrat, a to mě dovedlo k vygenerování nových certifikátů (soubory *.key a *.cert). Je důležité zmínit, že už jsme měl pro Tomcat nastavené certifikáty, takže mi šlo o to, vygenerovat soubory (certifikáty) se silnější kryptografií než SHA-1, jak mi říkal browser (Mozzila Firefox). Teď jsem zjistil, že mám nějaký rozbitý GIT, takže zatím ve zkratce; vycházel jsem z článku How to Create and Install an Apache Self Signed Certificate.
- Nainstaloval jsem OpenSSL ze stránky Win32/Win64 OpenSSL Installer for Windows (je asi jedno, kteru verzi).
- Po instalaci jsem v příkazovém vyzkoušel zavolat:
- openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout blabla.key -out blabla.crt
- Výsledkem bylo, že se mi vrátila informace:
WARNING: can't open config file: c:/openssl-1.0.2p-win32/ssl/openssl.cnf
Unable to load config info from c:/openssl-1.0.2p-win32/ssl/openssl.cnf
- Proto jsem ještě zkusil najít a donastavit správně cestu k souboru openssl.cnf, to podle stránky OpenSSL Configuration File
- Dohledal jsem si na disku soubor "openssl.cnf" a správně nastavil v příkazovém řádku přes: set OPENSSL_CONF=c:/Program Files/OpenSSL-Win64/bin/cnf/openssl.cnf
- Opět jsem zkusil vygenerování nových souborů podle:
- openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout blabla.key -out blabla.crt
Generating a 2048 bit RSA private key - To už se mi spustil openssl klient a začalo vyplňování informací pro doména blabla.cz:
- Country Name (2 letter code) [AU]:CS
- State or Province Name (full name) [Some-State]:Pilsen
- Locality Name (eg, city) []:Pilsen
- Organization Name (eg, company) [Internet Widgits Pty Ltd]:blabla
- Organizational Unit Name (eg, section) []:blabla.local
- Common Name (e.g. server FQDN or YOUR name) []:blabla.local
- Email Address []:info@blabla.cz
- openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout blabla.key -out blabla.crt
- Vygenerovanými soubory jsem nahradil původní CRT a KEY soubory a restartoval Apache Tomcat sever, aplikací service.msc.
Komentářů: 0