3.3. Настройка HTTPS#

Настройка осуществляется в соответствии с руководством Jetty. https://eclipse.dev/jetty/documentation/jetty-9/index.html#configuring-ssl

Tip

Для отключения протоколов HTTP или HTTPS необходимо отключить соответсвующий модуль Jetty, удалив файл {JETTY_BASE}/start.d/http.ini или {JETTY_BASE}/start.d/https.ini соответственно.

3.3.1. Хранилище SSL-сертификатов#

Хранилище SSL-сертификатов, используемых для https-соединений, размещено в каталоге: {G3_HOME}/server/jetty-base/etc/jetty-ssl-keystore.jks.

Пароль хранилища SSL-сертификатов jetty-ssl-keystore.jks по-умолчанию: 123456

Редактирование содержимого хранилища сертификатов может быть выполнено:

утилитой командной строки keytool.exe входящей в состав JDK/JRE. https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html
утилитой c графическим интерфейсом KeyStore Explorer. https://keystore-explorer.org/

3.3.1.1. SSL-сертификаты#

Поставляемое с дистрибутивом хранилище SSL-сертификатов jetty-ssl-keystore.jks содержит самоподписанный сертификат default-localhost для адреса https://localhost.

Пароль SSL-сертификата default-localhost по-умолчанию: 123456

Note

Т.к. сертификат default-localhost не является доверенным и не подписан доверенным ЦС, браузеры будут выдавать предупреждение “Сертификат безопасности сайта не является доверенным”. Для устранения данного предупреждения необходимо заменить сертификат по умолчанию на доверенный сертификат или сертификат подписанный доверенным ЦС.

Warning

Не рекомендуется добавлять поставляемый с дистрибутивом сертификат в список доверенных сертификатов, т.к. это может повлечь за собой угрозы безопасности HTTPS-соединений.

Сертификат был сформирован утилитой keytool.exe входящей в состав JDK/JRE.

generate-ssl.bat#

 REM Формирование сертификата и ключа
 keytool.exe -genkey -keyalg rsa -alias default-localhost -keystore jetty-ssl-keystore.jks -keypass 123456 -storepass 123456 -validity 36500 -dname "CN=localhost O=Global ERP, L=Saint Petersburg, C=Russia"

 REM Экспорт сертификата из хранилища
 keytool.exe -export -alias default-localhost -file default-localhost.crt -keystore jetty-ssl-keystore.jks -storepass 123456 -keypass 123456

3.3.2. Шифрование пароля для jetty-ssl-context.xml#

Для получения шифрованного пароля для jetty-ssl-context.xml необходимо выполнить команду:

encode-password.bat#

 java -cp {JETTY_HOME}\lib\jetty-util-{version}.jar org.eclipse.jetty.util.security.Password шифруемый_пароль