HOME
LINUX

tomcat ssl 설치 및 가상호스트 적용

admin 2018.11.29

TOMCAT에 SSL 구동 및 SSL 여러개 사이트 운용시 적용 방법

먼저 TOMCAT에 SSL을 사용하기 위해서는 JAVA / TOMCAT 이 설치되어 있어야 한다.
해당 부분은 다음 링크를 통해서 설치 진행하면 된다

https://xinet.kr/?p=1621 ( JAVA + TOMCAT + HTTPD + MYSQL 연동작업 )

무료 인증서은 let’sEncrypt는 인증서는 apache나 nginx에서 사용가능한 인증서인데 우리가 사용하려는 것은
tomcat에서의 인증서이다. 먼저 pem 인증서를 받은 후 openssl 를 이용하여 pkcs12 형태로 변경후 JKS 형태로 변환해서 사용

tomcat은 JKS, PKCS11,PKCS12 포맷의 keystore를 지원한다.
JKS 포맷은 jdk에 포함되어 있는 keytool 명령어로 사용하여 생성할 수 있다.
PKCS12 포맷은 인터넷 표준방식이며 openssl를 사용하여 생성 할 수 있다.

1. SSL을 사용하기 위해서 Certbot을 이용하여 무료 인증서를 발급 받자 ( pem 인증서)

[root@localhost ~]# yum -y install git

[root@localhost ~]# git clone https://github.com/certbot/certbot.git

[root@localhost certbot-master]# ./certbot-auto certonly --webroot --webroot-path=/free/home/xinet/html/ -d jsp.xinet.kr --email jsh@xinet.kr

[root@localhost certbot-master]# ll /etc/letsencrypt/live/jsp.xinet.kr/
합계 4
-rw-r--r--. 1 root root 692 2018-11-28 17:37 README
lrwxrwxrwx. 1 root root 36 2018-11-28 17:37 cert.pem -> ../../archive/jsp.xinet.kr/cert1.pem
lrwxrwxrwx. 1 root root 37 2018-11-28 17:37 chain.pem -> ../../archive/jsp.xinet.kr/chain1.pem
lrwxrwxrwx. 1 root root 41 2018-11-28 17:37 fullchain.pem -> ../../archive/jsp.xinet.kr/fullchain1.pem
lrwxrwxrwx. 1 root root 39 2018-11-28 17:37 privkey.pem -> ../../archive/jsp.xinet.kr/privkey1.pem

[root@localhost ~]# yum -y install git

[root@localhost ~]# git clone https://github.com/certbot/certbot.git

[root@localhost certbot-master]# ./certbot-auto certonly --webroot --webroot-path=/free/home/xinet/html/ -d jsp.xinet.kr --email jsh@xinet.kr

[root@localhost certbot-master]# ll /etc/letsencrypt/live/jsp.xinet.kr/

합계 4

-rw-r--r--. 1 root root 692 2018-11-28 17:37 README

lrwxrwxrwx. 1 root root 36 2018-11-28 17:37 cert.pem -> ../../archive/jsp.xinet.kr/cert1.pem

lrwxrwxrwx. 1 root root 37 2018-11-28 17:37 chain.pem -> ../../archive/jsp.xinet.kr/chain1.pem

lrwxrwxrwx. 1 root root 41 2018-11-28 17:37 fullchain.pem -> ../../archive/jsp.xinet.kr/fullchain1.pem

lrwxrwxrwx. 1 root root 39 2018-11-28 17:37 privkey.pem -> ../../archive/jsp.xinet.kr/privkey1.pem

2. 인증서가 저장되어 있는 디렉토리로 이동하여 openssl를 이용하여 pkcs12 방식으로 변환 후 jks 포맷

[root@localhost certbot-master]# cd /etc/letsencrypt/live/jsp.xinet.kr/

[root@localhost]# mkdir /usr/local/tomcat/conf/ssl

### PEM 통합 
[root@localhost jsp.xinet.kr]# cat privkey.pem cert.pem fullchain.pem chain.pem > jsp.xinet.kr.pem


### openssl 이용 변환 PEM -> PKCS12
[root@localhost jsp.xinet.kr]# openssl pkcs12 -export -out jsp.xinet.kr.pkcs12 -in jsp.xinet.kr.pem 
Enter Export Password:123456
Verifying - Enter Export Password:123456

### KEYTOOL 를 이용하여 PKCS12 -> JKS 포맷으로 변환 
[root@localhost jsp.xinet.kr]# keytool -importkeystore -srckeystore jsp.xinet.kr.pkcs12 -srcstoretype pkcs12 -destkeystore jsp.xinet.kr.jks -deststoretype jks
키 저장소 jsp.xinet.kr.pkcs12을(를) jsp.xinet.kr.jks(으)로 임포트하는 중...
대상 키 저장소 비밀번호 입력:  123456
새 비밀번호 다시 입력:  123456
소스 키 저장소 비밀번호 입력: 123456
1 별칭에 대한 항목이 성공적으로 임포트되었습니다.
임포트 명령 완료: 성공적으로 임포트된 항목은 1개, 실패하거나 취소된 항목은 0개입니다.

[root@localhost certbot-master]# cd /etc/letsencrypt/live/jsp.xinet.kr/

[root@localhost]# mkdir /usr/local/tomcat/conf/ssl

### PEM 통합

[root@localhost jsp.xinet.kr]# cat privkey.pem cert.pem fullchain.pem chain.pem > jsp.xinet.kr.pem

### openssl 이용 변환 PEM -> PKCS12

[root@localhost jsp.xinet.kr]# openssl pkcs12 -export -out jsp.xinet.kr.pkcs12 -in jsp.xinet.kr.pem

Enter Export Password:123456

Verifying - Enter Export Password:123456

### KEYTOOL 를 이용하여 PKCS12 -> JKS 포맷으로 변환

[root@localhost jsp.xinet.kr]# keytool -importkeystore -srckeystore jsp.xinet.kr.pkcs12 -srcstoretype pkcs12 -destkeystore jsp.xinet.kr.jks -deststoretype jks

키 저장소 jsp.xinet.kr.pkcs12을(를) jsp.xinet.kr.jks(으)로 임포트하는 중...

대상 키 저장소 비밀번호 입력: 123456

새 비밀번호 다시 입력: 123456

소스 키 저장소 비밀번호 입력: 123456

1 별칭에 대한 항목이 성공적으로 임포트되었습니다.

임포트 명령 완료: 성공적으로 임포트된 항목은 1개, 실패하거나 취소된 항목은 0개입니다.

3. 제없이 변환이 되었다면 keytool 명령어로 확인해보자.

[root@localhost jsp.xinet.kr]# keytool -list -keystore jsp.xinet.kr.jks 
키 저장소 비밀번호 입력: 
키 저장소 유형: jks
키 저장소 제공자: SUN

키 저장소에 1개의 항목이 포함되어 있습니다.

1, 2018. 12. 7, PrivateKeyEntry, 
인증서 지문(SHA1): 91:AA:7D:6B:4A:20:26:0F:F5:83:1C:44:7E:06:D3:01:7D:EE:72:45

[root@localhost jsp.xinet.kr]# keytool -list -keystore jsp.xinet.kr.jks

키 저장소 비밀번호 입력:

키 저장소 유형: jks

키 저장소 제공자: SUN

키 저장소에 1개의 항목이 포함되어 있습니다.

1, 2018. 12. 7, PrivateKeyEntry,

인증서 지문(SHA1): 91:AA:7D:6B:4A:20:26:0F:F5:83:1C:44:7E:06:D3:01:7D:EE:72:45

4. 이제 tomcat에 ssl을 적용하기 위해서 server.xml 파일을 열어서 아래와 같이 <connector> 있는 곳 아래에 내용을 추가

[root@localhost ssl]# vi /usr/local/tomcat/conf/server.xml


 <!-- 권장 (tomcat native 미설치시 -->
 <!-- JKS SSL Password True / HTTP/1.1 / https-openssl-nio protocol -->
 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
 maxHttpHeaderSize="8192" maxThreads="150" 
 enableLookups="false" acceptCount="100" connectionTimeout="20000" 
 disableUploadTimeout="true" 
 SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"
 keystoreFile="/etc/letsencrypt/live/jsp.xinet.kr/jsp.xinet.kr.jks" 
 keystorePass="123456" 
 />

[root@localhost ssl]# vi /usr/local/tomcat/conf/server.xml

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxHttpHeaderSize="8192" maxThreads="150"

enableLookups="false" acceptCount="100" connectionTimeout="20000"

disableUploadTimeout="true"

SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"

keystoreFile="/etc/letsencrypt/live/jsp.xinet.kr/jsp.xinet.kr.jks"

keystorePass="123456"

5. tomcat 재시작 및 ssl 포트 확인 및 웹페이지에서 사이트 확인 HTTPS로 확인

[root@localhost ssl]# catalina.sh stop

[root@localhost ssl]# catalina.sh start

[root@localhost ssl]# netstat -anp | grep 443
tcp 0 0 :::443 :::* LISTEN 3124/java

[root@localhost ssl]# catalina.sh stop

[root@localhost ssl]# catalina.sh start

[root@localhost ssl]# netstat -anp | grep 443

tcp 0 0 :::443 :::* LISTEN 3124/java

위와 같이 https://jsp.xinet.kr 로 접속시 ssl이 적용된것을 확인 할 수 있다

6. tomcat의 instance는 1개이며 tomcat에서 여러개의 ssl 사이트를 운용을 하게 될 경우 ssl포트를 변경해서 증가시키면 된다
웹서버인 apache의 경우 virtualhost를 이용하여 모두 443포트를 이용할 수 있지만 tomcat은 그렇게 되지가 않네 ( 이부분은 좀더 연구..ㅠㅠ)
구성은 간단하게 웹서버의 가상호스트 설정하고 tomcat 역시 가상호스트 설정

6-1. 먼저 apache 서버의 가상호스트 설정

[root@localhost ~]# vi /usr/local/apache/conf/extra/httpd-vhosts.conf 

<VirtualHost *:80>
 DocumentRoot /free/home/xinet/html/
 ServerName jsp.xinet.kr
 CustomLog logs/jsp.xinet.kr_access_log vcommon
 JkMount /* ajp13
</VirtualHost>

<VirtualHost *:80>
 DocumentRoot /free/home/xinet2/html/
 ServerName jsp2.xinet.kr
 CustomLog logs/jsp2.xinet.kr_access_log vcommon
 JkMount /* ajp13
</VirtualHost>

<VirtualHost *:80>
 DocumentRoot /free/home/xinet3/html/
 ServerName jsp3.xinet.kr
 CustomLog logs/jsp3.xinet.kr_access_log vcommon
 JkMount /* ajp13
</VirtualHost>

[root@localhost ~]# vi /usr/local/apache/conf/extra/httpd-vhosts.conf

DocumentRoot /free/home/xinet/html/

ServerName jsp.xinet.kr

CustomLog logs/jsp.xinet.kr_access_log vcommon

JkMount /* ajp13

</VirtualHost>

DocumentRoot /free/home/xinet2/html/

ServerName jsp2.xinet.kr

CustomLog logs/jsp2.xinet.kr_access_log vcommon

JkMount /* ajp13

</VirtualHost>

DocumentRoot /free/home/xinet3/html/

ServerName jsp3.xinet.kr

CustomLog logs/jsp3.xinet.kr_access_log vcommon

JkMount /* ajp13

</VirtualHost>

6-2 tomcat의 server.xml ssl 설정 및 가상호스트 설정

[root@localhost ~]# vi /usr/local/tomcat/conf/server.xml


 <!-- 권장 (tomcat native 미설치시 -->
 <!-- JKS SSL Password True / HTTP/1.1 / https-openssl-nio protocol -->
 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
 maxHttpHeaderSize="8192" maxThreads="150" 
 enableLookups="false" acceptCount="100" connectionTimeout="20000" 
 disableUploadTimeout="true" 
 SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"
 keystoreFile="/etc/letsencrypt/live/jsp.xinet.kr/jsp.xinet.kr.jks" 
 keystorePass="123456" 
 />

&nbsp; <!-- 권장 (tomcat native 미설치시 -->
 <!-- JKS SSL Password True / HTTP/1.1 / https-openssl-nio protocol -->
 <Connector port="444" protocol="org.apache.coyote.http11.Http11NioProtocol"
 maxHttpHeaderSize="8192" maxThreads="150" 
 enableLookups="false" acceptCount="100" connectionTimeout="20000" 
 disableUploadTimeout="true" 
 SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"
 keystoreFile="/etc/letsencrypt/live/jsp2.xinet.kr/jsp2.xinet.kr.jks" 
 keystorePass="123456" 
 />

&nbsp; <!-- 권장 (tomcat native 미설치시 -->
 <!-- JKS SSL Password True / HTTP/1.1 / https-openssl-nio protocol -->
 <Connector port="445" protocol="org.apache.coyote.http11.Http11NioProtocol"
 maxHttpHeaderSize="8192" maxThreads="150" 
 enableLookups="false" acceptCount="100" connectionTimeout="20000" 
 disableUploadTimeout="true" 
 SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"
 keystoreFile="/etc/letsencrypt/live/jsp3.xinet.kr/jsp3.xinet.kr.jks" 
 keystorePass="123456" 
 />



 <Host name="jsp.xinet.kr" appBase="/free/home/xinet/html" unpackWARs="true" autoDeploy="true">
 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" 
 prefix="jsp.xinet.kr_access_log" suffix=".txt"
 pattern="%h %l %u %t %r %s %b" />
 <Context path="" docBase="/free/home/xinet/html/" debug="0" reloadable="true"/>
 </Host>

 <Host name="jsp2.xinet.kr" appBase="/free/home/xinet2/html" unpackWARs="true" autoDeploy="true">
 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" 
 prefix="jsp2.xinet.kr_access_log" suffix=".txt"
 pattern="%h %l %u %t %r %s %b" />
 <Context path="" docBase="/free/home/xinet2/html/" debug="0" reloadable="true"/>
 </Host>

 <Host name="jsp3.xinet.kr" appBase="/free/home/xinet3/html" unpackWARs="true" autoDeploy="true">
 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" 
 prefix="jsp3.xinet.kr_access_log" suffix=".txt"
 pattern="%h %l %u %t %r %s %b" />
 <Context path="" docBase="/free/home/xinet3/html/" debug="0" reloadable="true"/>
 </Host>

[root@localhost ~]# vi /usr/local/tomcat/conf/server.xml

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxHttpHeaderSize="8192" maxThreads="150"

enableLookups="false" acceptCount="100" connectionTimeout="20000"

disableUploadTimeout="true"

SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"

keystoreFile="/etc/letsencrypt/live/jsp.xinet.kr/jsp.xinet.kr.jks"

keystorePass="123456"

<Connector port="444" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxHttpHeaderSize="8192" maxThreads="150"

enableLookups="false" acceptCount="100" connectionTimeout="20000"

disableUploadTimeout="true"

SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"

keystoreFile="/etc/letsencrypt/live/jsp2.xinet.kr/jsp2.xinet.kr.jks"

keystorePass="123456"

<Connector port="445" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxHttpHeaderSize="8192" maxThreads="150"

enableLookups="false" acceptCount="100" connectionTimeout="20000"

disableUploadTimeout="true"

SSLEnabled="true" scheme="https" secure="true" clientAuth="false" Protocol="TLS"

keystoreFile="/etc/letsencrypt/live/jsp3.xinet.kr/jsp3.xinet.kr.jks"

keystorePass="123456"

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

prefix="jsp.xinet.kr_access_log" suffix=".txt"

pattern="%h %l %u %t %r %s %b" />

</Host>

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

prefix="jsp2.xinet.kr_access_log" suffix=".txt"

pattern="%h %l %u %t %r %s %b" />

</Host>

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

prefix="jsp3.xinet.kr_access_log" suffix=".txt"

pattern="%h %l %u %t %r %s %b" />

</Host>

7. tomcat 서버 재시작 및 웹서버(apache) 재시작 및 포트 확인

[root@localhost ssl]# catalina.sh stop

[root@localhost ssl]# apachectl stop

[root@localhost ssl]# catalina.sh start

[root@localhost ssl]# apachectl start

[root@localhost ~]# netstat -anp | grep 44
tcp 0 0 :::445 :::* LISTEN 7176/java 
tcp 0 0 :::443 :::* LISTEN 7176/java 
tcp 0 0 :::444 :::* LISTEN 7176/java

[root@localhost ssl]# catalina.sh stop

[root@localhost ssl]# apachectl stop

[root@localhost ssl]# catalina.sh start

[root@localhost ssl]# apachectl start

[root@localhost ~]# netstat -anp | grep 44

tcp 0 0 :::445 :::* LISTEN 7176/java

tcp 0 0 :::443 :::* LISTEN 7176/java

tcp 0 0 :::444 :::* LISTEN 7176/java

웹상에서 확인

tomcat 8.5 에서 SSL 사용시 JKS PKCS12 방식을 이용한 SSL 적용방법
여기 사이트에서 확실하게 확인 —-> https://xinet.kr/?p=1674

태그: pkcs12

상품명
주문번호
택배사
송장번호

시골청년의 엔지니어이야기 ( 진반장 )

tomcat ssl 설치 및 가상호스트 적용

TOMCAT에 SSL 구동 및 SSL 여러개 사이트 운용시 적용 방법

먼저 TOMCAT에 SSL을 사용하기 위해서는 JAVA / TOMCAT 이 설치되어 있어야 한다.
해당 부분은 다음 링크를 통해서 설치 진행하면 된다

https://xinet.kr/?p=1621 ( JAVA + TOMCAT + HTTPD + MYSQL 연동작업 )

무료 인증서은 let’sEncrypt는 인증서는 apache나 nginx에서 사용가능한 인증서인데 우리가 사용하려는 것은
tomcat에서의 인증서이다. 먼저 pem 인증서를 받은 후 openssl 를 이용하여 pkcs12 형태로 변경후 JKS 형태로 변환해서 사용

tomcat은 JKS, PKCS11,PKCS12 포맷의 keystore를 지원한다.
JKS 포맷은 jdk에 포함되어 있는 keytool 명령어로 사용하여 생성할 수 있다.
PKCS12 포맷은 인터넷 표준방식이며 openssl를 사용하여 생성 할 수 있다.

1. SSL을 사용하기 위해서 Certbot을 이용하여 무료 인증서를 발급 받자 ( pem 인증서)

2. 인증서가 저장되어 있는 디렉토리로 이동하여 openssl를 이용하여 pkcs12 방식으로 변환 후 jks 포맷

3. 제없이 변환이 되었다면 keytool 명령어로 확인해보자.

4. 이제 tomcat에 ssl을 적용하기 위해서 server.xml 파일을 열어서 아래와 같이 <connector> 있는 곳 아래에 내용을 추가

5. tomcat 재시작 및 ssl 포트 확인 및 웹페이지에서 사이트 확인 HTTPS로 확인

위와 같이 https://jsp.xinet.kr 로 접속시 ssl이 적용된것을 확인 할 수 있다

6-2 tomcat의 server.xml ssl 설정 및 가상호스트 설정

7. tomcat 서버 재시작 및 웹서버(apache) 재시작 및 포트 확인

웹상에서 확인

tomcat 8.5 에서 SSL 사용시 JKS PKCS12 방식을 이용한 SSL 적용방법
여기 사이트에서 확실하게 확인 —-> https://xinet.kr/?p=1674

코멘트 쓰기 작성취소

TOMCAT에 SSL 구동 및 SSL 여러개 사이트 운용시 적용 방법

먼저 TOMCAT에 SSL을 사용하기 위해서는 JAVA / TOMCAT 이 설치되어 있어야 한다. 해당 부분은 다음 링크를 통해서 설치 진행하면 된다

무료 인증서은 let’sEncrypt는 인증서는 apache나 nginx에서 사용가능한 인증서인데 우리가 사용하려는 것은 tomcat에서의 인증서이다. 먼저 pem 인증서를 받은 후 openssl 를 이용하여 pkcs12 형태로 변경후 JKS 형태로 변환해서 사용

tomcat은 JKS, PKCS11,PKCS12 포맷의 keystore를 지원한다. JKS 포맷은 jdk에 포함되어 있는 keytool 명령어로 사용하여 생성할 수 있다. PKCS12 포맷은 인터넷 표준방식이며 openssl를 사용하여 생성 할 수 있다.

1. SSL을 사용하기 위해서 Certbot을 이용하여 무료 인증서를 발급 받자 ( pem 인증서)

2. 인증서가 저장되어 있는 디렉토리로 이동하여 openssl를 이용하여 pkcs12 방식으로 변환 후 jks 포맷

3. 제없이 변환이 되었다면 keytool 명령어로 확인해보자.

4. 이제 tomcat에 ssl을 적용하기 위해서 server.xml 파일을 열어서 아래와 같이 <connector> 있는 곳 아래에 내용을 추가

5. tomcat 재시작 및 ssl 포트 확인 및 웹페이지에서 사이트 확인 HTTPS로 확인

위와 같이 https://jsp.xinet.kr 로 접속시 ssl이 적용된것을 확인 할 수 있다

6-2 tomcat의 server.xml ssl 설정 및 가상호스트 설정

7. tomcat 서버 재시작 및 웹서버(apache) 재시작 및 포트 확인

웹상에서 확인

코멘트 쓰기 작성취소

먼저 TOMCAT에 SSL을 사용하기 위해서는 JAVA / TOMCAT 이 설치되어 있어야 한다.
해당 부분은 다음 링크를 통해서 설치 진행하면 된다

무료 인증서은 let’sEncrypt는 인증서는 apache나 nginx에서 사용가능한 인증서인데 우리가 사용하려는 것은
tomcat에서의 인증서이다. 먼저 pem 인증서를 받은 후 openssl 를 이용하여 pkcs12 형태로 변경후 JKS 형태로 변환해서 사용

tomcat은 JKS, PKCS11,PKCS12 포맷의 keystore를 지원한다.
JKS 포맷은 jdk에 포함되어 있는 keytool 명령어로 사용하여 생성할 수 있다.
PKCS12 포맷은 인터넷 표준방식이며 openssl를 사용하여 생성 할 수 있다.