.. _https_configuration:

Настройка HTTPS
===============

Настройка осуществляется в соответствии с руководством Jetty.
`<https://eclipse.dev/jetty/documentation/jetty-9/index.html#configuring-ssl>`__

.. tip::

    Для отключения протоколов HTTP или HTTPS необходимо отключить соответсвующий модуль Jetty, удалив
    файл ``{JETTY_BASE}/start.d/http.ini`` или ``{JETTY_BASE}/start.d/https.ini`` соответственно.

Хранилище SSL-сертификатов
--------------------------

Хранилище SSL-сертификатов, используемых для https-соединений, размещено в каталоге: ``{G3_HOME}/server/jetty-base/etc/jetty-ssl-keystore.jks``.

Пароль хранилища SSL-сертификатов `jetty-ssl-keystore.jks` по-умолчанию: ``123456``

Редактирование содержимого хранилища сертификатов может быть выполнено:

- утилитой командной строки `keytool.exe` входящей в состав JDK/JRE.
  `<https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html>`__
- утилитой c графическим интерфейсом `KeyStore Explorer`.
  `<https://keystore-explorer.org/>`__

SSL-сертификаты
````````````````
Поставляемое с дистрибутивом хранилище SSL-сертификатов `jetty-ssl-keystore.jks` содержит самоподписанный
сертификат ``default-localhost`` для адреса ``https://localhost``.

Пароль SSL-сертификата ``default-localhost`` по-умолчанию: ``123456``

.. note::
    Т.к. сертификат ``default-localhost`` не является доверенным и не подписан доверенным ЦС, браузеры будут выдавать
    предупреждение "Сертификат безопасности сайта не является доверенным". Для устранения данного предупреждения необходимо
    заменить сертификат по умолчанию на доверенный сертификат или сертификат подписанный доверенным ЦС.

.. warning::
    Не рекомендуется добавлять поставляемый с дистрибутивом сертификат в список доверенных сертификатов, т.к. это может
    повлечь за собой угрозы безопасности HTTPS-соединений.

Сертификат был сформирован утилитой `keytool.exe` входящей в состав JDK/JRE.

.. code-block:: bat
   :caption: generate-ssl.bat

    REM Формирование сертификата и ключа
    keytool.exe -genkey -keyalg rsa -alias default-localhost -keystore jetty-ssl-keystore.jks -keypass 123456 -storepass 123456 -validity 36500 -dname "CN=localhost O=Global ERP, L=Saint Petersburg, C=Russia"

    REM Экспорт сертификата из хранилища
    keytool.exe -export -alias default-localhost -file default-localhost.crt -keystore jetty-ssl-keystore.jks -storepass 123456 -keypass 123456

Шифрование пароля для jetty-ssl-context.xml
---------------------------------------------
Для получения шифрованного пароля для `jetty-ssl-context.xml` необходимо выполнить команду:

.. code-block:: bat
   :caption: encode-password.bat

    java -cp {JETTY_HOME}\lib\jetty-util-{version}.jar org.eclipse.jetty.util.security.Password шифруемый_пароль