Glassfish服务器证书部署
Glassfish依赖
l 非推荐SSL卸载,建议web服务器+java容器,例如nginx+glassfish。
l Glassfish部署的话,建议jdk8+,jdk8对ssl一些参数达到较高的标准。
获取证书
MPKI方式:
1. 登录https://mpki.trustasia.com。
2. 证书下载pkcs12格式。
非MPKI方式:
1. CSR对应的key文件。
2. 证书邮件里提取代码,把-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----(包括开头和结尾,不用换行)复制到txt文本文件里,然后保存为cer后缀。
3. https://myssl.com/cert_convert.html进行转换。
4. Pem转pkcs12。
转换glassfish需要的jks
1. 从原glassfish中/domain目录下的keystore中,保留glassfish-instance。
2. 将pfx文件导入jks中,别名起坐:s1as;密码为:changeit。如图:
到glassfish的web界面配置
1. http-listener——>http-listener2,Gerneal中开启sericuty。
2. ssl中,填写alias,为s1as。
3. keystore不填写,其余均默认或者不填。
4. save。
SSL相关配置
1. 关闭SSLv3。
2. 修改cipher_suit。
http跳转https(非强制)
l http自动跳转https不做强制要求,可在https访问没问题后进行调整。
l glassfish上不建议操作调整,在后端程序中添加重定向代码。
检测
https的端口没做限制后(防火墙放行,端口转发正常),到https://myssl.com进行检测。
评级达到B以上,在安全和兼容方面是较不错的。