Bereitstellung über HTTPS

Weiterführende Informationen zur Konfiguration von der Eigenschaft //SSLHostConfig// finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]]

41

)))

42

43

===Zusammenfassung der wichtigsten Optionen===

44

45

In der folgenden Tabelle werden die wichtigsten Optionen des obenstehenden Beispiel-Connectors und Ihre Bedeutung kurz zusammengefasst:

46

47

48

|=Attribut|=Wert|=Beschreibung

49

|port|443 (Standard)|Über diesen Port wird die Verbindung aufgebaut.

50

|URIEncoding|UTF-8|UTF-8 ist wichtig für eine durchgängig sauberes Encoding.

51

|maxHttpHeaderSize|65536|Dieser Wert sollte nicht verändert werden.

52

|maxPostSize|1100715200|Maximale Größe der Posts (Formulardaten inkl. Datei-Uploads) in Bytes. Der Wert in dem Beispiel ist 1GB.

53

|hostName|*|Name oder IP Adresse des Hosts.

54

|certificateKeyFile|*.key|Der private Schlüssel des Zertifikats.

55

|certificateFile|*.crt|Das eigentliche Zertifikat.

56

|certificateChainFile|*.*|Das übergeordnete Zertifikat (Certificate Authority (CA)), wenn nötig.

57

58

59

===Weitere Möglichkeiten ein Zertifikat im Tomcat am Connector zu konfigurieren===

60

61

Neben dem obenstehenden Beispiel gibt es noch andere Möglichkeiten, das verwendete Zertifikat für einen Connector für verschlüsselte Kommunikation zu konfigurieren. Eine Möglichkeit ist es, das Zertifikat, den Private Key und mögliche Zwischenzertifikate in einem Java-Keystore zu importieren und diesen direkt einzubinden:

62

63

64

<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

65

URIEncoding="UTF-8"

66

maxHttpHeaderSize="65536"

67

maxPostSize="10485760"

68

relaxedQueryChars="[ \ ] ^ ` { | }">

69

70

<Certificate certificateKeystoreFile="conf/file.keystore"

71

certificateKeystorePassword="meinPasswort" ></Certificate>

</SSLHostConfig>

</Connector>

Auch KeyPair-Dateien (*.pfx, *.p12) können direkt eingebunden werden:

77

78

79

<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

80

URIEncoding="UTF-8"

81

maxHttpHeaderSize="65536"

82

maxPostSize="10485760"

83

relaxedQueryChars="[ \ ] ^ ` { | }">

84

85

<Certificate certificateKeystoreFile="conf/file.pfx"

86

certificateKeystorePassword="meinPasswort"

87

certificateKeystoreType="PKCS12" ></Certificate>

</SSLHostConfig>

</Connector>

Weiterführende Informationen zur Konfiguration für die Zertifikate finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_Certificate>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_Certificate]]

93

94

95

==Einschränken auf bestimmte TLS-Versionen==

96

97

Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.2 und 1.3 zulässt, könnte wie folgt aussehen:

98

99

100

<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

101

URIEncoding="UTF-8"

102

maxHttpHeaderSize="65536"

103

maxPostSize="10485760"

104

relaxedQueryChars="[ \ ] ^ ` { | }">

105

106

<Certificate certificateKeyFile="conf/private.key"

107

certificateFile="conf/zertifikat.crt"

108

certificateChainFile="conf/CHAIN.pem"

109

type="RSA" ></Certificate>

</SSLHostConfig>

</Connector>

==Einschränken auf bestimmte TLS-Ciphers==

115

116

Falls zusätzlich eine Einschränkung der möglichen Verschlüsselungsalgorithmen gewünscht wird, kann diese mit dem Attribut //ciphers// vorgenommen werden.

117

118

119

##{{panel title="Beispiel für die manuelle Konfiguration der unterstützten Ciphers" triggerable="true" initial="hidden"}}

120

##{{/panel}}

121

122

Das folgende Beispiel ist keine Sicherheitsempfehlung. Es dient lediglich zur Veranschaulichung, wie eine Konfiguration aussehen könnte:

123

124

125

<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

126

URIEncoding="UTF-8"

127

maxHttpHeaderSize="65536"

128

maxPostSize="10485760"

129

relaxedQueryChars="[ \ ] ^ ` { | }">

130

131

<Certificate certificateKeyFile="conf/private.key"

132

certificateFile="conf/zertifikat.crt"

133

certificateChainFile="conf/CHAIN.pem"

134

type="RSA" ></Certificate>

</SSLHostConfig>

</Connector>

Nähere Informationen zur Konfiguration und den möglichen Optionen der Attribute finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]]

140

141

==Erzwingen von HTTPS==

142

143

Sollte der komplette Server ausschließlich über HTTPS betrieben werden empfiehlt es sich den Standard HTTP-Connector zu entfernen bzw. auszukommentieren. Sollte dies keine Option sein gibt es zusätzlich die Möglichkeit sowohl für den ganzen Server, als auch für einzelne Anwendungen eine Kommunikation über HTTPS zu erzwingen. Hierfür kann in die Datei //web.xml// des Servers (///Pfad/Zum/Tomcat/conf/web.xml//) oder der Anwendung (///Pfad/Zum/Tomcat/webapps/formcycle/WEB-INF/web.xml//) innerhalb des Knotens //web-app// folgendes eingefügt werden:

144

145

146

<security-constraint>

147

<web-resource-collection>

148

<web-resource-name>Entire Application</web-resource-name>

149

<url-pattern>/*</url-pattern>

150

</web-resource-collection>

151

152

<user-data-constraint>

153

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

154

</user-data-constraint>

155

</security-constraint>

156

Wiki-Quellcode von Bereitstellung über HTTPS

Navigation

author	version	line-number	content
		1	{{content/}}
		2
		3	==Konfigurieren des HTTPS Connectors==
		4
		5	Um den Apache Tomcat über HTTPS bereitzustellen, sind Anpassungen an der Datei //server.xml// des Tomcats notwendig.
		6
		7	1. Öffnen Sie die Datei //server.xml// (Pfad = ///Pfad/Zum/Tomcat/conf/server.xml//) mit einem entsprechenden Texteditor
		8	1. (((
		9	Navigieren Sie zu der u.g. Zeile bzw. dem gesamten Eintrag/Block
		10
		11	{{code}}
		12	<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true">
		13	<SSLHostConfig>
		14	<Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
		15	type="RSA" ></Certificate>
		16	</SSLHostConfig>
		17	</Connector>
		18	{{/code}}
		19
		20	Sollte der entsprechende Block kommentiert sein, so kommentieren Sie diesen aus!
		21	)))
		22	1. (((
		23	Passen Sie den Inhalt des einkommentierten Connectors an Ihre Gegebenheiten (Pfade/Zertifikate/Port) an. Dies könnte zum Beispiel so aussehen:
		24
		25	{{code}}
		26	<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
		27	URIEncoding="UTF-8"
		28	maxHttpHeaderSize="65536"
		29	maxPostSize="10485760"
		30	relaxedQueryChars="[ \ ] ^ ` { \| }">
		31	<SSLHostConfig hostName="XX.XXXX.XX">
		32	<Certificate certificateKeyFile="conf/private.key"
		33	certificateFile="conf/zertifikat.crt"
		34	certificateChainFile="conf/CHAIN.pem"
		35	type="RSA" ></Certificate>
		36	</SSLHostConfig>
		37	</Connector>
		38	{{/code}}
		39
		40	Weiterführende Informationen zur Konfiguration von der Eigenschaft //SSLHostConfig// finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]]
		41	)))
		42
		43	===Zusammenfassung der wichtigsten Optionen===
		44
		45	In der folgenden Tabelle werden die wichtigsten Optionen des obenstehenden Beispiel-Connectors und Ihre Bedeutung kurz zusammengefasst:
		46
		47	{{table dataTypeAlpha="0" preSort="0-asc"}}
		48	\|=Attribut\|=Wert\|=Beschreibung
		49	\|port\|443 (Standard)\|Über diesen Port wird die Verbindung aufgebaut.
		50	\|URIEncoding\|UTF-8\|UTF-8 ist wichtig für eine durchgängig sauberes Encoding.
		51	\|maxHttpHeaderSize\|65536\|Dieser Wert sollte nicht verändert werden.
		52	\|maxPostSize\|1100715200\|Maximale Größe der Posts (Formulardaten inkl. Datei-Uploads) in Bytes. Der Wert in dem Beispiel ist 1GB.
		53	\|hostName\|*\|Name oder IP Adresse des Hosts.
		54	\|certificateKeyFile\|*.key\|Der private Schlüssel des Zertifikats.
		55	\|certificateFile\|*.crt\|Das eigentliche Zertifikat.
		56	\|certificateChainFile\|.\|Das übergeordnete Zertifikat (Certificate Authority (CA)), wenn nötig.
		57	{{/table}}
		58
		59	===Weitere Möglichkeiten ein Zertifikat im Tomcat am Connector zu konfigurieren===
		60
		61	Neben dem obenstehenden Beispiel gibt es noch andere Möglichkeiten, das verwendete Zertifikat für einen Connector für verschlüsselte Kommunikation zu konfigurieren. Eine Möglichkeit ist es, das Zertifikat, den Private Key und mögliche Zwischenzertifikate in einem Java-Keystore zu importieren und diesen direkt einzubinden:
		62
		63	{{code}}
		64	<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
		65	URIEncoding="UTF-8"
		66	maxHttpHeaderSize="65536"
		67	maxPostSize="10485760"
		68	relaxedQueryChars="[ \ ] ^ ` { \| }">
		69	<SSLHostConfig>
		70	<Certificate certificateKeystoreFile="conf/file.keystore"
		71	certificateKeystorePassword="meinPasswort" ></Certificate>
		72	</SSLHostConfig>
		73	</Connector>
		74	{{/code}}
		75
		76	Auch KeyPair-Dateien (.pfx, .p12) können direkt eingebunden werden:
		77
		78	{{code}}
		79	<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
		80	URIEncoding="UTF-8"
		81	maxHttpHeaderSize="65536"
		82	maxPostSize="10485760"
		83	relaxedQueryChars="[ \ ] ^ ` { \| }">
		84	<SSLHostConfig>
		85	<Certificate certificateKeystoreFile="conf/file.pfx"
		86	certificateKeystorePassword="meinPasswort"
		87	certificateKeystoreType="PKCS12" ></Certificate>
		88	</SSLHostConfig>
		89	</Connector>
		90	{{/code}}
		91
		92	Weiterführende Informationen zur Konfiguration für die Zertifikate finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_Certificate>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_Certificate]]
		93
		94
		95	==Einschränken auf bestimmte TLS-Versionen==
		96
		97	Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.2 und 1.3 zulässt, könnte wie folgt aussehen:
		98
		99	{{code}}
		100	<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
		101	URIEncoding="UTF-8"
		102	maxHttpHeaderSize="65536"
		103	maxPostSize="10485760"
		104	relaxedQueryChars="[ \ ] ^ ` { \| }">
		105	<SSLHostConfig protocols="TLSv1.2+TLSv1.3">
		106	<Certificate certificateKeyFile="conf/private.key"
		107	certificateFile="conf/zertifikat.crt"
		108	certificateChainFile="conf/CHAIN.pem"
		109	type="RSA" ></Certificate>
		110	</SSLHostConfig>
		111	</Connector>
		112	{{/code}}
		113
		114	==Einschränken auf bestimmte TLS-Ciphers==
		115
		116	Falls zusätzlich eine Einschränkung der möglichen Verschlüsselungsalgorithmen gewünscht wird, kann diese mit dem Attribut //ciphers// vorgenommen werden.
		117
		118	{{velocity}}
		119	##{{panel title="Beispiel für die manuelle Konfiguration der unterstützten Ciphers" triggerable="true" initial="hidden"}}
		120	##{{/panel}}
		121	{{/velocity}}
		122	Das folgende Beispiel ist keine Sicherheitsempfehlung. Es dient lediglich zur Veranschaulichung, wie eine Konfiguration aussehen könnte:
		123
		124	{{code language="xml"}}
		125	<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
		126	URIEncoding="UTF-8"
		127	maxHttpHeaderSize="65536"
		128	maxPostSize="10485760"
		129	relaxedQueryChars="[ \ ] ^ ` { \| }">
		130	<SSLHostConfig protocols="TLSv1.2+TLSv1.3" ciphers="TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_CCM,TLS_DHE_RSA_WITH_AES_128_CCM_8,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_CCM,TLS_DHE_RSA_WITH_AES_256_CCM_8,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256">
		131	<Certificate certificateKeyFile="conf/private.key"
		132	certificateFile="conf/zertifikat.crt"
		133	certificateChainFile="conf/CHAIN.pem"
		134	type="RSA" ></Certificate>
		135	</SSLHostConfig>
		136	</Connector>
		137	{{/code}}
		138
		139	Nähere Informationen zur Konfiguration und den möglichen Optionen der Attribute finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]]
		140
		141	==Erzwingen von HTTPS==
		142
		143	Sollte der komplette Server ausschließlich über HTTPS betrieben werden empfiehlt es sich den Standard HTTP-Connector zu entfernen bzw. auszukommentieren. Sollte dies keine Option sein gibt es zusätzlich die Möglichkeit sowohl für den ganzen Server, als auch für einzelne Anwendungen eine Kommunikation über HTTPS zu erzwingen. Hierfür kann in die Datei //web.xml// des Servers (///Pfad/Zum/Tomcat/conf/web.xml//) oder der Anwendung (///Pfad/Zum/Tomcat/webapps/formcycle/WEB-INF/web.xml//) innerhalb des Knotens //web-app// folgendes eingefügt werden:
		144
		145	{{code}}
		146	<security-constraint>
		147	<web-resource-collection>
		148	<web-resource-name>Entire Application</web-resource-name>
		149	<url-pattern>/*</url-pattern>
		150	</web-resource-collection>
		151
		152	<user-data-constraint>
		153	<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		154	</user-data-constraint>
		155	</security-constraint>
		156	{{/code}}