Tomcat8 Https配置

最新推荐文章于 2023-06-07 15:53:32 发布
最新推荐文章于 2023-06-07 15:53:32 发布
阅读量883 收藏 2
点赞数
文章标签: java web.xml
原文链接:http://www.cnblogs.com/andyshu/p/https_config.html
版权

前言:最近有客户使用burp suite扫描出了一些安全问题,涉及到tomcat的配置一脸懵逼,搜到的文章也不太靠谱,记录此文希望对大家有帮助。

 

一、确认Tomcat版本

  本文针对tomcat8,其他版本不保证是否可行,需要先确认版本是否OK。

  cmd进入tomcat/bin,执行命令查看版本:catalina version,如下图所示版本号为8.5.23

 

二、配置https

1、生成密钥

  cmd中输入(其中您的名字与姓氏是什么?需要填入主机域名,如本机测试可以写localhost):

keytool -genkey -alias tomcat -keyalg RSA -keystore D:\keystore

输入密钥库口令:cnblogs
再次输入新口令:cnblogs
您的名字与姓氏是什么?
  [Unknown]:  cnblogs
您的组织单位名称是什么?
  [Unknown]:  cnblogs
您的组织名称是什么?
  [Unknown]:  cnblogs
您所在的城市或区域名称是什么?
  [Unknown]:  beijing
您所在的省/市/自治区名称是什么?
  [Unknown]:  beijing
该单位的双字母国家/地区代码是什么?
  [Unknown]:  cn
CN=cnblogs, OU=cnblogs, O=cnblogs, L=beijing, ST=beijing, C=cn是否正确?
  [否]:  y

输入 <tomcat> 的密钥口令
        (如果和密钥库口令相同, 按回车):

 

2、将生成的keystore放进tomcat的根目录

3、修改tomcat/conf/server.xml文件:

  搜索到“8443”,找到如下内容:

  修改如下,keystorePass为第一步输入的密钥口令

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
       maxThreads="150" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="D:\cnblogs\tomcat\keystore"
       keystorePass="cnblogs" />

 

4、修改tomcat/webapps/projectName/WEB-INF/web.xml,在标签web-app中添加如下内容:

    <security-constraint>
        <web-resource-collection >
            <web-resource-name >SSL</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>

        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

 

 

三、安全配置

  如上配置后,用burpsuite扫描会报两个漏洞:

1、SSL cookie without secure flag set

  修改tomcat/conf/web.xml文件,在标签session-config下添加:

    <session-config>
        <session-timeout>0</session-timeout>
        <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
        </cookie-config>
    </session-config>

 

2、Strict transport security not enforced

  修改tomcat/conf/web.xml文件,在标签web-app中添加:

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <init-param>
            <param-name>hstsEnabled</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>hstsMaxAgeSeconds</param-name>
            <param-value>31536000</param-value>
        </init-param>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</param-value>
        </init-param>
        <async-supported>true</async-supported>
    </filter>
    
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

 

3、配置check,重启后,访问之前的http端口,可以看到返回302重定向从8085端口到8443端口(HSTS要求强制转换为https),且Set-Cookie中有了Secure和HttpOnly

  重定向后https请求可以看到有了Strict-Transport-Security消息头

转载于:https://www.cnblogs.com/andyshu/p/https_config.html

weixin_30591551
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux tomcat配置https的方法
09-15
主要介绍了linux tomcat配置https的方法,需要的朋友可以参考下
tomcat配置https的方法示例
09-30
主要介绍了tomcat配置https的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
常见web漏洞(awvs、nessus)验证方法小记-低危漏洞
热门推荐
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】未加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL弱加密(主机漏洞)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少HttpOnly标志(Cookie(s) without HttpOnly flag set)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少secure属性(Cookie(s) wi...
Tomcat和HTTP协议
qq_39544980的博客
03-28 428
Tomcat和HTTP协议 一,Tomcat服务器 1.1 Tomcat服务器概述 Apache组织,Sun公司以及个人一起维护一个符合JavaEE一部分规范的轻量级服务器软件。 Tomcat服务器免费开源,对于用户使用比较友好,完全兼容JSP和Servlet,同时可以相应HTML页面 JBoss符合全部JavaEE规范的服务器,收费 WebLogic符合全部JavaEE规范的服务器,收...
tomcat漏洞修复
m0_61069946的博客
03-19 4628
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
session-cookie without secure flag set解决方案
weixin_34034261的博客
11-10 6505
扫出一个session-cookie without secure flag set这个漏洞,在web.xml里加<cookie-config><http-only>true</http-only> <secure>true</secure> </cookie-config>...
应用安全漏洞扫描问题处理整理
发现问题,面对问题,分析问题,解决问题,总结问题
09-04 5113
安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。
Tomcat8配置HTTPS
一只没有脚的鸟
07-13 1114
直接看配置,多余的注释都已经删除了 server.xml <?xml version="1.0" encoding="UTF-8"?> <Server port="8005" shutdown="SHUTDOWN"> <Listener className="org.apache.catalina.startup.VersionLoggerListener" /> <!-- Security listener. Documentation at /docs/
Tomcat8配置Https
振宇要低调
02-09 853
生成keystore。在服务器上执行如下命令,只需要输入如下图所示的两个密码,例如:123456,其余均直接回车。启动tomcat之后,在客户端主机上,配置对应的域名,然后即可使用https进行连接。第一个
Tomcat8配置Https协议,Tomcat配置Https安全访问
蕃薯耀的博客
11-03 1498
生成数字证书,如下:     keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\soft\apache-tomcat-8.0.47-9200\conf\key\tomcat.keystore -validity 36500  keytool.exe 命令位于Java\jdk1.8.0_121\bin的目录下,如果没有配置Jdk的环境变量,就要进入目录再使用。   命令参数部分解释: D:\soft\apache-tomcat
tomcat8设置https连接
shuai_94250的博客
05-12 1386
创建证书 keytool -genkey -alias mycer -keyalg RSA -keystore D:\apache-tomcat-8.0.33\keystore\mycer在tomcat路径下生成一个别名为mycer的证书,密钥算法为RSA。 待输入项中“名字与姓氏”最好输入当前服务所在的域名,如sso.test.com,不可输入IP地址。 2. 导出证书keytool -ex
Linux tomcat 8 配置访问本地文件,并且配置https
从零开始的博客
06-07 1483
就可以通过 【http:// ip + 端口号+ tomcat配置的代理访问路劲+文件名】 来访问文件。这边注意打开 HTTP/1.1 下的注释配置,并且进行修改。keystorePass: 前边cmd回答问题的秘钥库口令。keystoreFile:生成的证书库文件地址。本地要有jdk 【已经配置好环境变量那些】一步一步回答问题,最后会在F 盘生成文件。端口号为配置的 8443 ,成功访问文件。
tomcat 配置https
03-22
tomcat 配置https 详情, tomcat 配置http 强制跳转到https
tomcat配置https
06-11
tomcat7+jdk的keytool生成证书 配置https
2个漏洞X-Frame-Options和Cookie without Secure flag
邢立军的技术专栏
05-24 4408
2.1Clickjacking:X-Frame-Options header missing 漏洞级别:低危 受影响的站点: 序号 受影响站点 截图 2 https://bpo.elite-club.net.cn/gmacsaic-bpo 漏洞危害: 未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下...
网站安全响应头缺失和php配置漏洞
春秋一阕任琦行
09-10 5143
最近给学校做网站,被查出各种响应头缺失的 低危漏洞 和 一些配置漏洞,还有一些需要https配置。。。。。 php.ini 中修改 expose_php off // php彩蛋信息泄露 session.cookie_httponly=true // cookie没有设置httponly属性 PHP 配置 header("X-Frame-Options:SAMEO...
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
tomcat8 配置https(续)
xshalk的专栏
05-24 863
tomcat8 配置https(续)tomcat8 配置http重定向到https,记录一下网上找了一些文章,有的说不可以,tomcat不像apache需要nginx不是一个完整的http server 不能rewrite之类,需要用一些插件。然而google了一下,确实是可以的。 修改server.xml , 默认8080改成80,redirectPort改成443,AJP的redirectPor
tomcat8.0.23配置https连接
testunit的专栏
05-20 699
目录 制作证书 新生成一个密钥库 向已存在密钥库添加新密钥 查看密钥库中的项 copy密钥库文件 修改tomcat配置文件 发布部署 强制https访问 制作证书 众所周知,https协议需要证书,为了开发去CA买证书是浪费,使用jdk自带的keytool工具做一个开发测试用足够。 https://docs.oracle.com/javase/8/docs/techn...
Tomcat配置https
最新发布
12-21
以下是配置Tomcat使用HTTPS的步骤: 1. 生成自签名证书: ```shell keytool -genkey -v -alias testKey -keyalg RSA -validity 3650 -keystore /tomcat/tomcat/test.keystore ``` 2. 配置Tomcat的server.xml文件:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值