Serviços em HTTPS tem como objetivo garantir maior segurança no tráfego de arquivos entre cliente-servidor. Neste documento abordaremos a configuração SSL do servidor de aplicação jetty, utilizado na Replicação de Documentos, que será utilizado juntamente com o Fluig quando o WildFly estiver com o certificado SSL também ativo.
Os procedimentos descritos neste guia foram testados e homologados na versão 9.4.8.v20171121 do Jetty |
Para configurar o SSL no Jetty, é necessário:
Carregar chaves e certificados.
Configurar sslContextFactory.
O caminho mais fácil para gerar as chaves e os certificados é usar a ferramenta keytool que vem na instalação da JDK.
Se você já possui as chaves e os certificados vá direto para o passo, Carregando as chaves e certificados, afim de verificar como carregá-los para dentro do keystore JSSE. Esta seção também se aplica no caso de renovação de certificados onde você deseja substituir um certificado que está expirando. |
O exemplo abaixo gera somente chaves e certificados básicos. Você deve acessar a documentação do Jetty se precisar especificar o seguintes itens:
O comando a seguir gera as chaves e o certificado diretamente no arquivo keystore
:
$ keytool -keystore keystore -alias jetty -genkey -keyalg RSA |
Estes certificados auto-assinados não são válidos externamente.
Se um certificado CA lhe foi enviado, ou se você gerou o seu próprio certificado sem keytool
, você precisa carregá-lo em um keystore JSSE.
Você pode usar o keytool
para carregar um certificado no formato PEM diretamente em um keystore. O formato PEM é uma codificação de texto de certificados; é produzido pela OpenSSL, e é devolvido por alguns CAs. Um exemplo de arquivo PEM é:
jetty.crt ----- BEGIN CERTIFICATE ----- MIICSDCCAfKgAwIBAgIBADANBgkqhkiG9w0BAQQFADBUMSYwJAYDVQQKEx1Nb3J0 IEJheSBDb25zdWx0aW5nIFB0eS4gTHRkLjEOMAwGA1UECxMFSmV0dHkxGjAYBgNV BAMTEWpldHR5Lm1vcnRiYXkub3JnMB4XDTAzMDQwNjEzMTk1MFoXDTAzMDUwNjEz MTk1MFowVDEmMCQGA1UEChMdTW9ydCBCYXkgQ29uc3VsdGluZyBQdHkuIEx0ZC4x DjAMBgNVBAsTBUpldHR5MRowGAYDVQQDExFqZXR0eS5tb3J0YmF5Lm9yZzBcMA0G CSqGSIb3DQEBAQUAA0sAMEgCQQC5V4oZeVdhdhHqa9L2 / ZnKySPWUqqy81riNfAJ 7uALW0kEv / LtlG34dOOcVVt / PK8 / bU4dlolnJx1SpiMZbKsFAgMBAAGjga4wgasw HQYDVR0OBBYEFFV1gbB1XRvUx1UofmifQJS / MCYwMHwGA1UdIwR1MHOAFFV1gbB1 XRvUx1UofmifQJS / MCYwoVikVjBUMSYwJAYDVQQKEx1Nb3J0IEJheSBDb25zdWx0 aW5nIFB0eS4gTHRkLjEOMAwGA1UECxMFSmV0dHkxGjAYBgNVBAMTEWpldHR5Lm1v cnRiYXkub3JnggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADQQA6NkaV OtXzP4ayzBcgK / qSCmF44jdcARmrXhiXUcXzjxsLjSJeYPJojhUdC2LQKy + p4ki8 Rcz6oCRvCGCe5kDB ----- END CERTIFICATE ----- |
Se você já possui um certificado com a extensão .crt e a senha para acessá-lo utilize o comando abaixo. Este comando a seguir carrega o conteúdo do arquivo .crt para dentro do arquivo keystore JSSE:
$ keytool -keystore keystore -import -alias jetty -file [nome_do_arquivo].crt -trustcacerts |
Ao executar o comando acima digite uma senha 'não pode ser deixado em branco'. Esta é a senha de acesso ao arquivo keystore.
Se você possui um certificado com a extensão .p12 utilize o comando abaixo. Este comando a seguir carrega o conteúdo do arquivo .crt para dentro do arquivo keystore JSSE:
$ keytool -importkeystore -srckeystore [nome_do_arquivo].p12 -srcstoretype PKCS12 -destkeystore keystore |
Ao executar o comando acima lhe será solicitado uma senha 'não pode ser deixado em branco'. Esta é a senha de acesso ao arquivo keystore.
Será solicito uma segunda senha, esta é a de acesso ao certificado, guarde as duas senha.
É necessário copiar o arquivo keystore do local onde foi gerado para dentro da pasta [instalação do jetty]/etc
O Jetty permite que seja criado um diretório específico para realizar as configurações, assim é possível manter uma separação entre os arquivos binários de instalação ($JETTY_HOME) e as configurações personalizadas ($JETTY_BASE). Veja mais detalhes em Gerenciando Jetty Home e Jetty Base
|
É necessário adicionar o parâmetro abaixo no momento em que o Jetty será iniciado:
-Dfile.encoding=UTF-8 -Djavax.net.ssl.trustStore=[caminho do arquivo keystore gerado]
Para iniciar o Jetty basta digitar no terminal do Windows o seguinte comando:
java -Dfile.encoding=UTF-8 -Djavax.net.ssl.trustStore=[caminho do arquivo keystore gerado] -jar start.jar