HackMDGlassfish 搭配let's encrypt及安裝ssl憑證
tags: CAS, Glassfish Server SSL Setting, keytool
前言:
此前由於是自行產生簽證,在實務面上是不可能通過安全性檢驗,因此此篇會記錄如何使用let's encrypt產生憑證後,該如何安裝到glassfish上!
大致流程:
- 先到let's encrypt申請憑證,申請過程請參考其他網路教學,當申請通過之後,應該會拿到三個檔案,分別為: ca_bundle.crt(根憑證,也叫CA)、certificate.crt(CA full path憑證)、private.key(私鑰)
- 將這三樣透過openssl轉化為pkcs12檔
- 將pkcs12檔轉換成jks檔
- 將最後的jks檔匯入glassfish預設的keystore.jks檔案內
- 設定glassfish domain.xml
- 重新啟動server
1. 將第三方型的憑證轉化為pkcs12檔
- 重點提醒: 這邊的-name很重要,因為glassfish配置會需要簽證的alias,因此這邊一定要給。此外,由於glassfish的簽證密碼一定要和他master password完全一致,如果不想修改glassfish的master password,這邊簽證的密碼請務必設定成"changeit"。
2. 將pkcs12檔轉換成jks檔
- 重點提醒: 這邊的-alias需和上方的-name參數設定的一致,並且設定密碼也為changeit
3. 將jks檔匯入glassfish預設的keystore.jks
4. 設定glassfish domain.xml
-
請到
glassfish安裝路徑/glassfish/domains/domain1/config/domain.xml -
若是有自行新增domain,則請至該對應的domain,domain1是glassfish預設的domain
-
接著找到server-config底下的network-config,原本的http-listener-1是預設給http通道用的,http-listener-2是給https用的,但因目前網頁環境用的都是聽http-listener-1的80 port。因此,我們需要調整的是http-listener-1,而不是http-listener-2,並且加上
<ssl classname="com.sun.enterprise.security.ssl.GlassfishSSLImpl" cert-nickname="glassfish_apis_syscom"></ssl>,這邊的nickname鑰跟前面步驟產生憑證的alias一致! -
重點提醒: 若是透過4848 port進去的admin管理頁面想去變更http-listener-1讓他啟動security,但因為會少了
<ssl></ssl>tag的關係,想切到ssl的頁面去變更certificate alias並儲存時會一直產生error,因此請直接修改domain.xml!
5. 最後請重新啟動glassfish讓他生效
請到glassfish安裝路徑/glassfish4.1.2/glassfish/bin/,並且輸入以下指令:
