- Advantages of using huge page:
- Generate a new csr using mysrvidentity.jks:
- Sign the csr and import it into the identity keystore:
- Step 1: generate host identity keys and identity keystore
- Step 3: import identity certificate into trust keystore
- Step 4: configure weblogic ssl
- Step 5: test ssl configuration
- Авторизация с помощью сертификата ssl на nginx let’s encrypt
Advantages of using huge page:
Because of the larger page size, the page table will be smaller in size. With HugePages, a 10 GB heap size should use only 5120 page entries despite the 2621440 page entries present when using the default 4 KB page size. This minimizes the CPU cost and the page table memory usage.
Generate a new csr using mysrvidentity.jks:
1. Execute the keytool utility to generate the CSR.
[[email protected]]$ keytool -certreq -v -alias MYSRVcert -file MYSRVCert.csr -keystore MYSRVIdentity.jks
2. Type the password when required:
Enter keystore password: <Type the password>
Certification request stored in file <MYSRVCert.csr>
Submit this to your CA
Sign the csr and import it into the identity keystore:
1. Submit MYSRVCert.csr to the Certificate Authority of your choice to get the digital certificate and its private key. For demonstration purposes, this recipe will use the CertGen utility to create and sign the certificate from the CSR. CertGen uses the WebLogic Demo CA (CertGenCA.der):
[[email protected]]$ java utils.CertGen -keyfile MYSRVCertPrivateKey -keyfilepass password -certfile MYSRVCert -cn “*.domain.local”
Generating a certificate with common name *.domain.local and key strength 1024
/oracle/Middleware/wlserver_12.1/server/lib/CertGenCA.der file and key from /oracle/Middleware/wlserver_12.1/server/lib/CertGenCAKey.der file
2. Import the server certificate and private keys to the MYSRVIdentity.jks keystore:
[[email protected]]$ java utils.ImportPrivateKey -keystore MYSRVIdentity.jks -keyfile MYSRVCertPrivateKey.pem -keyfilepass password -certfile MYSRVCert.pem -storepass password -alias MYSRVcert
Create the custom trust keystore MYSRVTrust.jks on the MYSRV01 machine:
1. Create the MYSRVTrust.jks keystore by making a copy from the Standard Java Trust.
[[email protected]]$ cp /oracle/jvm/jre/lib/security/cacerts ./MYSRVTrust.jks
2. Change the default cacerts password. The default is changeit. Change it to a new one:
[[email protected]]$ keytool -storepasswd -keystore MYSRVTrust.jks
Enter keystore password: changeit
New keystore password: <Type the new password>
Re-enter new keystore password: <Re-type the new password>
3. In previous steps, the WebLogic Demo CA (CertGenCA.der) was used to sign the certificate, so it will be imported to the trust keystore. In production, import the CA certificate from your trusted CA vendor.
[[email protected]]$ keytool -import -v -trustcacerts -alias rootCA -file /oracle/Middleware/wlserver_12.1/server/lib/CertGenCA.der -keystore MYSRVTrust.jks
If you have multiple machines and managed servers then you need to manully copy the keystore folder to every machine.
1. Copy the keystore folder to the MYSRV02 machine:
Step 1: generate host identity keys and identity keystore
I am going to show you how to use keytool to generate strong certificates and create JCEKS keystores for your application host.
Step 3: import identity certificate into trust keystore
Next we need to create a JCEKS trust keystore. The trust keystore contains either cert chains or certificates that are used to establish trust during an SSL handshake.
Once the certificates and keystores are created, store them in a safe location – a directory with restricted access. You want the WebLogic process owner to have read-only access to the certs and keystores.
Step 4: configure weblogic ssl
Now that we have configured the identity and trust keystores, we can go ahead and configure SSL for WebLogic.
- Click on the SSL tab
- Specify the Private Key Alias. Use the alias that was defined when you created the private key and identity keystore
- Specify the Private Key Passphrase
- Click Save
Here’s a screenshot of my SSL configuration:
Step 5: test ssl configuration
We can test the SSL configuration by enabling the SSL listen port for the WebLogic server.
Авторизация с помощью сертификата ssl на nginx let’s encrypt
Добрый день, вечер или ночь, все зависит от времени суток в который вам довелось прочитать мою статью.
В связи с ростом количества корпоративных клиентов, было принято решение дать доступ к учетной системе внешним пользователям. Для самостоятельного оформления заказов и отслеживания их состояний. Реализация была создан web интерфейс с необходимым функционалом и доступом. Тут же стал вопрос безопасности, кроме стандартных пользователь-пароль было решено еще усилить безопасность, для этого применили OpenVPN, но появились клиенты, для которых нельзя применять OpenVPN (политики безопасности, нежелания и.д.), тут на глаза попались статьи про доступ по ssl сертификату.
Исходные данные:
Сервер с учетной программой web интерфейс находятся в DMZ;
WEB-server на nginx, на него проброшены порты http(80) и https(443);
На web-server настроен proxy_pass на сервер с учетной программой, доступ только по порту 8080 и только с IP web-server, большего доступа с серверу нет(обычная безопасность);
На сайт для доступа установлен сертификат от Let’s Encrypt.
Переходим к самому процессу создания сертификата пользователя:
Для сертификатов будем использовать каталог “/etc/ssl/crm.example.ru”
Создаём структуру каталогов:
# mkdir /etc/ssl/crm.example.ru
# cd /etc/ssl/crm.example.ru
# mkdir db
# mkdir db/certs
# mkdir db/newcerts
# touch db/index.txt
# echo "01" > db/serial
# chmod 700 ./
Создаем конфигурационный файл для подписи сертификатов.
/etc/ssl/crm.example.ru/ca.conf”
[ ca ]
default_ca = CA_CITENAME # Секция по умолчанию для подписи сертификатов
[ CA_CITENAME ]
droot = /etc/ssl/crm.example.ru # Корневой каталог хранилища
dir = $droot/db # Каталог базы хранилища
certs = $dir/certs # Каталог сертификатов
new_certs_dir = $dir/newcerts # Каталог для новых сертификатов (pem)
database = $dir/index.txt # Файл базы сертификатов
serial = $dir/serial # Файл серийного номера
# Файл доверенного сертификата
certificate = $droot/ca.crt
# Закрытый ключ доверенного сертификата
private_key = $droot/ca.key
default_days = 365 # Срок действия нового сертификата (дни)
default_crl_days = 7 # Срок действия списка отозванных сертификатов
default_md = md5 # Использовать алгоритм MD5
policy = policy_citename # Политика секции
[ policy_citename ]
countryName = optional # Необязательный параметр
stateOrProvinceName = optional # .......................
localityName = optional # .......................
organizationName = optional # .......................
organizationalUnitName = optional # .......................
commonName = supplied # обязательный параметр
emailAddress = supplied # .....................
[ req_distinguished_name ]
countryName = Название страны (2-буквенный код)
countryName_default = RU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = Название области (полное название)
stateOrProvinceName_default = Tyumen region
localityName = Название местности (например, город)
localityName_default = Tyumen
0.organizationName = Название организации
0.organizationName_default = EXAMPLE
organizationalUnitName = Название организационной единицы (например, отдел)
commonName = Ваше имя
commonName_max = 64
emailAddress = Email адрес
emailAddress_max = 64
Создаем самоподписанный сертификат и новый ключ сервера без пароля:
# openssl req -new -newkey rsa:2048 -nodes -keyout ca.key -x509 -days 365
-subj "/C=RU/ST=Tyumen region/L=Tyumen/O=EXAMPLE/OU=CRM/CN=crm.example.ru/emailAddress=crm@example.ru"
-out ca.crtЛибо, если хотите всё вводить вручную.
# openssl req -new -newkey rsa:2048 -nodes -keyout ca.key -x509 -days 365 -out ca.crtПросмотреть данные закрытого ключа и сертификата вы можете с помощью команд:
# openssl rsa -noout -text -in ca.key (для ключа)
# openssl x509 -noout -text -in ca.crt (для сертификата)
Создание клиентского закрытого ключа и запроса на сертификат (CSR):
# openssl req -new -newkey rsa:2048 -nodes -keyout client01.key
-subj "/C=RU/ST=Tyumen region/L=Tyumen/O=EXAMPLE/OU=CRM/CN=User example1/emailAddress=user@example1.ru"
-out client01.csr
Либо, если хотите всё вводить вручную.
#openssl req -new -newkey rsa:2048 -nodes -keyout client01.key -out client01.csr
Заместо User example1 можно указать почту клиента, а за место EXAMPLE компанию клиента, это поможет отслеживать сертификаты.
В результате выполнения команды появятся два файла client01.key и client01.csr. Просмотреть данные закрытого ключа и запроса на сертификат (CSR) вы можете с помощью команд:
# openssl rsa -noout -text -in client01.key (для ключа)
# openssl req -noout -text -in client01.csr (для запроса)
Подпись запроса на сертификат (CSR) с помощью доверенного сертификата (CA). При подписи запроса используются параметры заданные в файле ca.config
# openssl ca -config ca.config -in client01.csr -out client01.crt -batch
Подготовка данных для передачи клиенту. Для передачи полученных в результате предыдущих операций файлов клиенту, обычно используется файл в формате PKCS#12. В этот файл упаковывается и защищается паролем вся информация необходимая клиенту для инсталляции сертификата в броузер.
# openssl pkcs12 -export -in client01.crt -inkey client01.key
-certfile ca.crt -out client01.p12 -passout pass:123ewqasdcxz
Выставляем права доступа на ключи.
# chmod 600 /etc/ssl/crm.example.ru/client*.crt
# chmod 600 /etc/ssl/crm.example.ru/client*.key
Переместим все созданные файлы в каталог db/certs на хранение.
# mv ./client01.* db/certs/
В nginx надо установить:
ssl_client_certificate /etc/ssl/crm.example.ru/ca.crt;
ssl_verify_client on;
ssl_verify_depth 1;
Для того чтобы клиент смог подключиться по сертификату ему необходимо отправить файл client01.p12 и ca.crt, а так же сообщить пароль для установки сертификата. ca.crt необходим, так как мы не используем его для сертификации сервера, для этомо используеться Let’s Encrypt.
Процесс выдачи сертификатов можно автоматизировать, написать просто скрипт не составит труда. У нас таких клиентов не много, около 15, так что вбить всё руками не составило проблем.
Мой рабочий пример:
Окно выбора сертификата:
Сам сертификат:
Работоспособность Let’s Encrypt:
В подготовке материала помогли статьи:
→ «Авторизация клиентов в nginx посредством SSL сертификатов»
→ «Авторизация по SSL сертификатам»
→ «Авторизация с помощью клиентских SSL сертификатов. (ssl crypt mod_ssl apache)»
→ «Великий и могучий Google»
P.S. Проверка проводилась на Google Chrome.