HTTPS

9 月 2 2022

幫 Apache Tomcat 7/9 上 HTTPS

近日敝單位踩到 HSTS 的地雷,於是就著手解決問題…

先說地雷的引爆點: 新上線 example.com 這網站給了 “strict-transport-security: max-age=31536000; includeSubDomains” 這組 HTTP header,使得原本透過 Apache Tomcat 提供服務的 http://system.example.com.tw:8080/ 網頁瀏覽異常;因瀏覽器參照 HSTS 後,只把 “http://” 改為 “https://” ,瀏覽器不知道應該同步修改連接埠號(port 8080)。

因為這幾台伺服器的網頁服務僅使用 Apache Tomcat,沒有 Apache HTTPDnginx 等其他軟體佔用 port 80 與 443,用 iptables 作 port redirection 就可以擺平,調整的方式會比較簡單。

需要作的事的大概就這些:

  • 取得 SSL certificates,並確認 renew 的時候可重新啟動 Apache Tomcat
  • 安裝 Tomcat Native
  • 調整 Tomcat 的 server.xml
  • 調整 iptables rules

Apache Tomcat 7 的 server.xml 用這段(某些參數視狀況調整):

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="200" SSLEnabled="true"
           SSLCertificateFile="/etc/letsencrypt/live/example.com/cert.pem"
           SSLCertificateKeyFile="/etc/letsencrypt/live/example.com/privkey.pem"
           SSLCACertificateFile="/etc/letsencrypt/live/example.com/chain.pem" />

Apache Tomcat 9 的 server.xml 用這段(某些參數視狀況調整),支援 HTTP/2:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="200" SSLEnabled="true" >
  <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
  <SSLHostConfig>
    <Certificate certificateKeyFile="/etc/letsencrypt/live/example.com/privkey.pem"
                 certificateFile="/etc/letsencrypt/live/example.com/cert.pem"
                 certificateChainFile="/etc/letsencrypt/live/example.com/chain.pem"
                 type="RSA" />
  </SSLHostConfig>
</Connector>

iptables rules 增加以下這兩條:

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

By 0 • Tags: , , , ,

3 月 16 2018

開始用 Let’s Encrypt 的 wildcard certificate

2016 年自己寫過 改用 Let’s Encrypt 的 certificates,文內提到的 dehydrated 也持續在使用。

這幾天看到 Let’s Encrypt 貼出 ACME v2 and Wildcard Certificate Support is Live

Let’s Encrypt 的 wildcard certificate 實作大概要注意以下幾點:

  • 要用 ACME v2 compatible client(官方有提供列表: ACME Client Implementations
  • 不能用 HTTP challenge,改用 DNS challenge

使用 dehydrated 進行 DNS challenge 可以參考這幾份文件:

我選擇用 nsupdate 的方式(參考 dehydrated Wiki : example dns 01 nsupdate script),在 DNS master server 建立 _acme-challenge.{DOMAIN} 的 NS record,讓 hook script 透過 nsupdate 連線到指定的 name server 更新 TXT record 。

DNS 方面完成後,要記得佈署 hook script 與 nsupdate 使用的 key。
接著是調整語法,原本的語法:

/SOMEWHERE/dehydrated/dehydrated -c -d {網站hostname}

改為:

/SOMEWHERE/dehydrated/dehydrated \
    -c -d *.{DOMAIN} \
    -t dns-01 -k {HOOK_SCRIPT} \
    --alias wildcard.{DOMAIN}

( –alias 指定的 wildcard.{DOMAIN} 會成為目錄名稱,用來存放憑證 )

By 0 • Tags: , , , , , ,

2 月 22 2016

改用 Let’s Encrypt 的 certificates

之前都在用 StartSSL 的免費 certificate,雖知道有 Let’s Encrypt,但因手邊幾乎都轉用 nginx,遲遲沒下手。

約莫一週前 zeroplex 丟了這個網頁:「Why I stopped using StartSSL (Hint: it involves a Chinese company)」,三、四天前 DK 大神也撰文提及,就決定趁週末沒什麼事來動工…

用 DK 大神在一個月前撰文提過的 dehydrated 這個 GitHub 專案可以輕鬆搞定,步驟大致如下…

  1. 找個自己喜歡的目錄(不是 /tmp …),把 dehydrated clone 出來
  2. 在 clone 出來的目錄之下建立 .acme-challenges 目錄
    mkdir dehydrated/.acme-challenges
  3. 在原本的 HTTP (80 port) 設定下建立 alias,把網站的 /.well-known/acme-challenge 指向剛建立好的目錄
  4. 讓 HTTP daemon 重讀設定
  5. 執行這個指令
    dehydrated/dehydrated -c -d {網站hostname}
  6. 完成 & 成功後就會在 dehydrated/certs 發現目錄,目錄下有數個檔案
  7. 我自己讓 nginx 使用 fullchain.pem 跟 privkey.pem,設定大致如下:
    server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl on;
    ssl_certificate /SOMEWHERE/dehydrated/certs/{網站hostname}/fullchain.pem;
    ssl_certificate_key /SOMEWHERE/dehydrated/certs/{網站hostname}/privkey.pem;
    ssl_trusted_certificate /SOMEWHERE/dehydrated/certs/{網站hostname}/fullchain.pem;
    ....
}

我記得 Let’s Encrypt 的 certificate 要在 90 天內 renew,所以 cron job 這樣放:

0 0 1 */2 * /SOMEWHERE/dehydrated/letsencrypt.sh -c -d {網站hostname} &gt; /dev/null 2&gt;&amp;1

Updated : letsencrypt.sh 改為 dehydrated 。

By 0 • Tags: , , , , , , ,