☰ MENU

SSL certifikát na lokále v Apache Tomcat silnější než SHA-1

16. října 2020Posláno od Ajťák

.. přejít na Komentáře (0)

Už delší dobu mě otravovala při vývoji webu na lokále "Apache Tomcat 2.4" v konzoli prohlížeče hláška, že Tato stránka používá certifikát SHA-1. Doporučuje se používat certifikáty, které na podepisování používají silnější hashovací funkce než je SHA-1.

Abych se této hlášky zbavil, začal jsem pátrat, a to mě dovedlo k vygenerování nových certifikátů (soubory *.key a *.cert). Je důležité zmínit, že už jsme měl pro Tomcat nastavené certifikáty, takže mi šlo o to, vygenerovat soubory (certifikáty) se silnější kryptografií než SHA-1, jak mi říkal browser (Mozzila Firefox). Teď jsem zjistil, že mám nějaký rozbitý GIT, takže zatím ve zkratce; vycházel jsem z článku How to Create and Install an Apache Self Signed Certificate.

 

  1. Nainstaloval jsem OpenSSL ze stránky Win32/Win64 OpenSSL Installer for Windows (je asi jedno, kteru verzi).
  2. Po instalaci jsem v příkazovém vyzkoušel zavolat:
    • openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout blabla.key -out blabla.crt
    • Výsledkem bylo, že se mi vrátila informace:
      WARNING: can't open config file: c:/openssl-1.0.2p-win32/ssl/openssl.cnf
      Unable to load config info from c:/openssl-1.0.2p-win32/ssl/openssl.cnf
  3. Proto jsem ještě zkusil najít a donastavit správně cestu k souboru openssl.cnf, to podle stránky OpenSSL Configuration File
    • Dohledal jsem si na disku soubor "openssl.cnf" a správně nastavil v příkazovém řádku přes: set OPENSSL_CONF=c:/Program Files/OpenSSL-Win64/bin/cnf/openssl.cnf
  4. Opět jsem zkusil vygenerování nových souborů podle:
    • openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout blabla.key -out blabla.crt
      Generating a 2048 bit RSA private key
    • To už se mi spustil openssl klient a začalo vyplňování informací pro doména blabla.cz:
      • Country Name (2 letter code) [AU]:CS
      • State or Province Name (full name) [Some-State]:Pilsen
      • Locality Name (eg, city) []:Pilsen
      • Organization Name (eg, company) [Internet Widgits Pty Ltd]:blabla
      • Organizational Unit Name (eg, section) []:blabla.local
      • Common Name (e.g. server FQDN or YOUR name) []:blabla.local
      • Email Address []:info@blabla.cz
  5. Vygenerovanými soubory jsem nahradil původní CRT a KEY soubory a restartoval Apache Tomcat sever, aplikací service.msc.
(konec článku)

Komentářů: 0

Přidat komentář
  • *
  • *
    Otázka