Recebi certificados do GoDaddy e estou tentando ativar SSL com Jetty, mas recebo um erro 107 Erro de protocolo SSL ao conectar-me ahttps://server.com:8443
Eu gerei o keystore usando estes comandos:
keytool -keystore keystore -import -alias gd_bundle -trustcacerts -file gd_bundle.crt
keytool -keystore keystore -import -alias server.com -trustcacerts -file server.com.crt
e coloquei-o em/opt/jetty/etc/
E usei a seguinte configuração em jetty.xml:
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<Arg>
<New class="org.eclipse.jetty.http.ssl.SslContextFactory">
<Set name="keyStore"><SystemProperty name="jetty.home" default="."/>/etc/keystore</Set>
<Set name="keyStorePassword">**password1**</Set>
<Set name="keyManagerPassword">**password1**</Set>
<Set name="trustStore"><SystemProperty name="jetty.home" default="."/>/etc/keystore</Set>
<Set name="trustStorePassword">**password1**</Set>
</New>
</Arg>
<Set name="port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="Acceptors">2</Set>
<Set name="statsOn">false</Set>
<Set name="lowResourcesConnections">20000</Set>
<Set name="lowResourcesMaxIdleTime">5000</Set>
</New>
</Arg>
</Call>
Estou faltando alguma coisa na configuração do jetty?
Responder1
Acho que os aliases do keystore precisam ser os mesmos quando você carrega os arquivos .crt de volta no arquivo do keystore. Estou fazendo essencialmente a mesma coisa que você está usando certificados Digicert e aqui está o processo que usei para gerar meu .csr e incorporar os resultados de volta. Também acho mais fácil lidar com a versão .p7b dos certificados do que com os arquivos .crt individuais. Isso pode ajudá-lo também.
gerar par de chaves e arquivo de armazenamento de chaves
% keytool -genkey -alias server -keyalg RSA -keystore star_mydom_com.jks \
-dname "CN=*.mydom.com, O=<org>, L=<city>, ST=<state>, C=<country>"
gerar arquivo .csr
% keytool -certreq -alias server -file star_mydom_com.csr -keystore star_mydom_com.jks
importar arquivo .p7b para arquivo keystore
% keytool -import -trustcacerts -alias server -file star_mydom_com.p7b \
-keystore star_mydom_com.jks
ofuscar a senha
% JETTY_VER=8.1.10.v20130312
% JETTY_HOME=$HOME/jetty_ssl/jetty-hightide-$JETTY_VER
% java -cp $JETTY_HOME/lib/jetty-util-${JETTY_VER}.jar \
org.eclipse.jetty.util.security.Password jettyuser 'supersecretpassword'
supersecretpassword
OBF:1vny1yte1x8g1wml1yf21ym71sar1uuq1ym51t331ym91uvg1saj1ym71yf41wnl1x8e1yt81vn4
MD5:bbb2c5e63d2ef893106fdd0d797aa97a
CRYPT:je0/SbkypAbJA
adicione senha a etc/jetty-ssl.xml
<Configure id="Server" class="org.eclipse.jetty.server.Server">
<!-- digicert -->
<New id="sslContextFactory" class="org.eclipse.jetty.http.ssl.SslContextFactory">
<Set name="KeyStore"><Property name="jetty.home" default="." />/etc/star_mydom_com.jks</Set>
<Set name="KeyStorePassword">OBF:1vny1yte1x8g1wml1yf21ym71sar1uuq1ym51t331ym91uvg1saj1ym71yf41wnl1x8e1yt81vn4</Set>
<Set name="KeyManagerPassword">OBF:1vny1yte1x8g1wml1yf21ym71sar1uuq1ym51t331ym91uvg1saj1ym71yf41wnl1x8e1yt81vn4</Set>
<Set name="TrustStore"><Property name="jetty.home" default="." />/etc/star_mydom_com.jks</Set>
<Set name="TrustStorePassword">OBF:1vny1yte1x8g1wml1yf21ym71sar1uuq1ym51t331ym91uvg1saj1ym71yf41wnl1x8e1yt81vn4</Set>
</New>
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<Arg><Ref id="sslContextFactory" /></Arg>
<Set name="Port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="Acceptors">2</Set>
<Set name="AcceptQueueSize">100</Set>
<!--you can disable cipher suites in the following section. -->
<Set name="IncludeCipherSuites">
<Array type="java.lang.String">
<Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
</Array>
</Set>
</New>
</Arg>
</Call>
</Configure>