iT邦幫忙

1

多種SSL憑證在同一台Tomcat 上server.xml設定

不好意思想請各位專家協助

已經申請相關憑證檔案綁了web01 和 web02 DNS名稱去產生 ssl 憑證

這是server.xml 後面添加的訊息

  </Engine>
  <Connector SSLEnabled="true"
             ciphers="TLS_RSA_WITH_AES_128_CBC_SHA"
             clientAuth="false"
             keystoreFile="C:\Keystore\web01.pfx"
             keystorePass="test"
             maxThreads="150"
             port="443"
             protocol="org.apache.coyote.http11.Http11NioProtocol"
             scheme="https"
             secure="true"
             sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1,SSLv2Hello"
             sslProtocol="TLS"/>
   <Connector SSLEnabled="true"
             ciphers="TLS_RSA_WITH_AES_128_CBC_SHA"
             clientAuth="false"
             keystoreFile="C:\Keystore\web02.pfx"
             keystorePass="atrium"
             maxThreads="150"
             port="443"
             protocol="org.apache.coyote.http11.Http11NioProtocol"
             scheme="https"
             secure="true"
             sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1,SSLv2Hello"
             sslProtocol="TLS"/>

重啟服務後

輸入web01的網址 https 正常 ,但是 web02的網址https就會跳出安全性問題

web01 和 web02的電腦IP是一樣的,但是 DNS name 不同

這邊再麻煩各位專家協助與指導

小成 iT邦高手 10 級 ‧ 2017-02-22 15:12:04 檢舉
https://www.google.com.tw/webhp?ie=UTF-8#q=sni+tomcat
weiclin iT邦高手 4 級 ‧ 2017-02-22 15:25:47 檢舉
http://stackoverflow.com/questions/20190464/howto-setup-tomcat-serving-two-ssl-certificates-using-sni

1 個回答

1
bizpro
iT邦大師 1 級 ‧ 2017-02-22 15:04:07
最佳解答

Tomcat只容許一個IP對一個Port, 建議

  1. 不同的IP, 同樣走443
  2. 同一個IP, 不同的埠號, 如443, 444.
  3. 在Tomcat前用反向代理, 如Nginx, Varnish, Apache.
bizpro iT邦大師 1 級 ‧ 2017-02-22 15:53:48 檢舉

SNI只在Tomcat 8.5之後. 但我不建議在Tomcat層處理TLS/SSL,因為Tomcat的組件可能過舊,而是把TLS/SSL的工作交給前端的網站/反向代理伺服器.

我要發表回答

立即登入回答