J'utilise un certificat SSL Wildcard à Apache Tomcat 7. Mais maintenant que je dois renouveler, je vois que ces certificats SSL EV (Vérification étendue) où les navigateurs montrent une belle barre verte afin que les utilisateurs se sentent mieux. Ce serait important pour mon site, alors je le veux! Mais j'ai plusieurs sous-domaines et des certificats SSL apparemment EV ne sont pas des caractères génériques par nature. Donc, OK, j'ai un nombre défini de sous-domaines, je peux juste acheter un groupe (j'ai certainement besoin d'au moins 2) certificats SSL EV pour chaque sous-domaine.
Puis-je définir cela à Tomcat 7 afin qu'il existe plusieurs certificats SSL sur une application Web? Ce n'est pas un problème pour moi d'affecter plusieurs adresses IP à cette machine.
5 Réponses :
sans indication du nom du serveur (SNI), qui n'est pas pris en charge en JAVA (6), vous avez besoin d'un certificat par adresse IP.
Vous pouvez configurer Tomcat pour utiliser plusieurs connecteurs, avec différentes adresses IP et certificats, à l'aide du Attribut d'adresse .
pour Exemple: Vous pouvez également être en mesure d'utiliser le même keyStore, si vous en avez besoin, et utilisez l'attribut keyalias (dans connecteur ) Pour dire au connecteur Quelle clé / certificat à utiliser (basée sur le nom d'alias dans le magasin de clés).
Parfait, exactement ce que je cherchais. Je ne l'ai pas encore essayé, vous permettra de savoir à quel point cela fonctionne bien.
Mec, est-il possible de définir le nom de domaine au lieu de la propriété intellectuelle?
Bonjour @bruno, je me demande simplement, est-il possible d'utiliser le nom de domaine au lieu de l'adresse IP dans l'attribut adresse? Parce que j'hôte de nombreux sites, mais ils tombent tous sous la même adresse IP.
@Chorwaichun Je pense que votre seul autre pari utiliserait des ports différents
Je viens de recevoir ceci à travail sur un serveur avec plusieurs SSL et IP's. ajouté IP de cette façon: Code ajouté Pour que le serveur utilise une sécurité maximale possible avec les "chiffres" (lors d'une touche 2048 bits). Testé d'abord que cela fonctionnera avec soi Clés signées de cette façon: Voici le code:
http://www.loadtestingtool.com/help/how-setup-ip.shtml
http://community.jboss.org/wiki/generatinselfsigneDcertificateWithkeyTool
Notez que le test de cette page a des caractères erronées au début du texte "-keystore" (sur plusieurs endroits).
Bonjour @ZUUL, vous vous demandez simplement, est-il possible d'utiliser le nom de domaine au lieu de l'adresse IP dans l'attribut d'adresse? Parce que j'hôte de nombreux sites, mais ils tombent tous sous la même adresse IP.
Vous pouvez simplement rendre la vie plus facile et obtenir un ev san (également connu sous forme d'UCC) et Ajoutez chaque domaine comme entrée dans le champ Nom de l'alternative en question. Et si vous souhaitez utiliser plusieurs adresses IP, exportez simplement le certificat et que vous le souhaitez sur chaque adresse IP (http://www.ssltools.com/Manager est excellent pour cela si vous exécutez des fenêtres). Un bon exemple d'un certificat SAN EV est le certificat trouvé chez https://www.ssl.com , il suffit d'examiner ça.
Je ne suis pas sûr, ici si "Sni" est vraiment pertinent.
Mais dans votre cas, la solution typique serait appelée SSLOffoffotage ou terminaison SSL: I.E. Mettez votre tomcat indiquant une APACHE, qui a configuré pour utiliser plusieurs noms de domaine / noms de domaine sur la même adresse IP. Vous pouvez configurer pour chaque Vhost dans Apache pour utiliser son propre certificat SSL.
Il y a un guide étape par étape pour ce sujet ici:
http: //mileStonenext.blogspot. DE / 2012/09 / SSL-déchargement-with-modjk-part-1.html
J'utilise Tomcat 8.5 et il est maintenant possible de configurer Tomcat avec plusieurs SSL / Multi domaine. Voici ma configuration.
<Connector port="443" protocol="org.apache.coyote.http11.Http11AprProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
defaultSSLHostConfigName="localhost" >
<UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
<SSLHostConfig hostName="localhost">
<Certificate certificateKeyFile="/$path/privkey.pem"
certificateFile="/$path/certificate.pem"
certificateChainFile="/$path/chain.pem"
type="RSA" />
</SSLHostConfig>
<SSLHostConfig hostName="domainname.com">
<Certificate certificateKeyFile="/$path/privkey.pem"
certificateFile="/$path/certificate.pem"
certificateChainFile="/$path/chain.pem"
type="RSA" />
</SSLHostConfig>
</Connector>