tomcat + id kaart :: Hinnavaatluse Foorumid

serk · HV kasutaja liitunud: 24.05.2003

eesmärk id kaardiga login Tomcat 7 all.

Connector enabletud:
<Connector
protocol="HTTP/1.1"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="..." keystorePass="changeit"
keyAlias="tomcat_oige"
clientAuth="true" sslProtocol="TLS"/>

keystorei kenati leiab üles, juured imporditud.

clientAuth = "true" - saidi avamisel error: Viga 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL-protokolli viga.
clientAuth = "want" - sait avaneb normaalselt, sert tehtud ise localhosti peale ja ssli vigu ei ole.

mis mul kahe silma vahele hetkel jääb? Kas selle peale ei peaks id kaardi popup üles tulema?

2ndalpha · HV kasutaja liitunud: 03.11.2004

Pane apache vôi nginx Tomcati ette

serk · HV kasutaja liitunud: 24.05.2003

Võttes aluseks väga lihtsa demo, siis jõudsin niikaugele:
Browser ütleb kohe: No client certificate chain in this request

Ainus kood:
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

<security-constraint>
<web-resource-collection>
<web-resource-name>Bug46950</web-resource-name>
<url-pattern>/secure/index.jsp</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>manager</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Everything</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>

</web-app>

sama viga tuleb nii clientAuth true kui want puhul. Ideid?
mul on isegi living proof olemas, et tomcati peal asi töötab

aga kahjuks ei saa uurida mis ja kuidas. Kardan, et ma põhimõtteliselt olen midagi valesti teinud, serte valesti importinud? Keystore valesti teinud? Huvipärast proovin ka vanemat Tomcati, ehk siin versioonis mingi kala?

Equinox · HV veteran liitunud: 05.04.2002

Ei tohiks seal midagi müstiliselt keerulist olla küll. Id-kaart töötab Tomcatiga täitsa kenasti. Võid proovida seda võtit Connectorisse prooviks lisada allowUnsafeLegacyRenegotiation="true" järsku mõjub. Võib, et rakenduse juures on midagi konfimata., samas näite konf paistab nagu ok olema.

connor · HV kasutaja liitunud: 19.02.2003

Kas hetkeport->8443 suunamine töötab ilusti? Võid ka enne alati proovida kas niisama https töötab ja siis logimise tuge lisama hakata.

serk · HV kasutaja liitunud: 24.05.2003

jah, 8443 suunamine ok, https ok.
allowUnsafeLegacyRenegotiation="true" ei muutnud midagi.

Proovisin apache2 peal ja seal kõik funkab.

Equinox · HV veteran liitunud: 05.04.2002

serk · HV kasutaja liitunud: 24.05.2003

serdid lisasin keystorei mis on mul mäppitud tomcati külge, connectoris rida keystoreFile="..." ja see on uus ise tehtud keystore kus self signed sert ning sk juured.
java cacertsi pole ma midagi pannud. Sinna pean toppima?

Edit:
Loobusin Tomcatist ID autentimise teenuse loomisel. Ei saa käima seda junni. Kui keegi paneb copy paste töötava õpetuse, siis garanteerin sixpacky, juba puhtast huvist kuidas ja mis

Hetkel võtsin apache2+php5 id login teenuse jaoks ja põhirakendus jääb eraldiseisva Tomcati peal jooksma. Töötab. Muidugi oleks hea kasutada id autentimise teenuse jaoks samuti tomcati, saaks php jurast lahti ja korraliku java teenuse kirjutada.

connor · HV kasutaja liitunud: 19.02.2003

Raudselt jäi truststoreFile="keyfile" truststorePass="password" connectorisse panemata mis ütlevad mis certe usaldada.
Ise tegin
1.Keystore (keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -keysize 2048)
2.ID juurcerdid sisse a'la (keytool -importcert -file "C:\Program Files (x86)\Estonian ID Card\certs\ESTEID-SK 2007.crt" -keystore keystore.jks -alias 2)
3.Tomcat'i confi muutmine a)APR välja, b)https connector sisse

jackass888 · HV kasutaja liitunud: 12.05.2004

Hei
Proovisin kõik samamoodi teha omaarust aga veebilehele minnes ei küsi mingit id kaarti ja saan:
SSL peer cannot verify your certificate.
(Error code: ssl_error_bad_cert_alert)

Tegin:
keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -keysize 2048
keytool -importcert -file "/opt/ca/ESTEID-SK_2007.der.crt" -keystore keystore.jks -alias 2
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true" keystoreFile="/opt/ca/keystore.jks" keystorePass="password" keyAlias="mydomain"
truststoreFile="/opt/ca/keystore.jks" truststorePass="password"
clientAuth="true" sslProtocol="TLS" />
Ning web.xml sisu.
Oskab keegi äkki öelda, mis valesti või kas kuskil leidub tomcati(ilma httpd) õpetust selleks.

connor · HV kasutaja liitunud: 19.02.2003

Panid ikka kõik juursertifikaadid sisse? Id kaardiga autentimiseks oleks vaja kõik sisse panna - loe siit https://www.sk.ee/repositoorium/sk-sertifikaadid/

Tomcati juhendit olen ise erinevatel aegade otsinud, kunagi midagi sk lehel isegi oli. SSL/https confimine on piisavalt eraldiseisev spetsiifiline teema et kohe pärast tegemist kipub meelest minema.

Equinox · HV veteran liitunud: 05.04.2002

serk · HV kasutaja liitunud: 24.05.2003

Pole ammu käinud foorumis, aga sain asja kenasti tööle ja tänud vastajatele. Lõplik jama oligi selles, et kõik serdid polnud keystore'is. Miskine probleem oli lisamisega. Kui hakkasin keystorei ükshaaval läbi vaatama, et mis sinna reaalselt sisse sai, siis osad serdid olid puudu. Kõik sees, siis toimib kenasti.

Tänud vastajatele veelkord!