6

注意:如果您想查看此演示应用程序的行为,只需访问 www.collaborativepowernowinternational.us。在这里,选择testssl.PersonController,你可以创建一个人。然后去编辑指定 SSL 通道的人,这将给出一个重定向循环。

似乎在 Jetty 9 中更多的配置项进入了 start.ini 文件,我的版本是 9.05。

为了测试最基本的 SSL/https,我在 start.ini 中取消注释以下行:

#===========================================================
# SSL Context
# Create the keystore and trust store for use by
# HTTPS and SPDY
#-----------------------------------------------------------
jetty.keystore=etc/keystore
jetty.keystore.password=OBF:1vny1zlo1x8e1vnw1vn61x8g1zlu1vn4
jetty.keymanager.password=OBF:1u2u1wml1z7s1z7a1wnl1u2g
jetty.truststore=etc/keystore
jetty.truststore.password=OBF:1vny1zlo1x8e1vnw1vn61x8g1zlu1vn4
jetty.secure.port=8443
etc/jetty-ssl.xml

#===========================================================
# HTTPS Connector
# Must be used with jetty-ssl.xml
#-----------------------------------------------------------
jetty.https.port=8443
etc/jetty-https.xml

没有其他 Jetty 配置更改。然后,我构建了最基本的 Grails 应用程序(有一个 Person 类),在其中我将某些控制器操作设置为安全,这在我使用较旧的内置 Jetty 版本(Grails 包括)的开发机器上运行良好。这只需包含 spring-security-core 然后将以下行添加到配置文件中即可完成:

grails.plugins.springsecurity.secureChannel.definition = [
  '/person/list': 'REQUIRES_INSECURE_CHANNEL',
  '/person/delete/**': 'REQUIRES_SECURE_CHANNEL',
  '/person/edit/**': 'REQUIRES_SECURE_CHANNEL',
  '/person/show': 'REQUIRES_INSECURE_CHANNEL'
]

grails.plugins.springsecurity.portMapper.httpPort=80
grails.plugins.springsecurity.portMapper.httpsPort=443

当我访问人员/编辑操作时,我在浏览器中得到一个重定向循环(使用部署的 WAR 文件到专用 CentOs 6 机器上的 Jetty 9)。这是使用 Jetty 9 提供的密钥库,只需取消注释 start.ini 中的行即可使用它。

我正在阅读的主要 Jetty SSL 配置页面在这里。我不清楚的是,更新 start.ini 文件是否足够?如果没有,究竟如何在上一个链接中描述的 jetty-https.xml 中添加这些行,即这些行:

 <New id="sslContextFactory" class="org.eclipse.jetty.util.ssl.SslContextFactory">
    <Set name="KeyStorePath"><Property name="jetty.home" default="." />/etc/keystore</Set>
    <Set name="KeyStorePassword">OBF:1vny1zlo1x8e1vnw1vn61x8g1zlu1vn4</Set>
    <Set name="KeyManagerPassword">OBF:1u2u1wml1z7s1z7a1wnl1u2g</Set>
    <Set name="TrustStorePath"><Property name="jetty.home" default="." />/etc/keystore</Set>
    <Set name="TrustStorePassword">OBF:1vny1zlo1x8e1vnw1vn61x8g1zlu1vn4</Set>
 </New>

不知道如何添加它们,但它们似乎也与上​​面的 start.ini 文件行重复。

你能帮我运行最基本的 Jetty SSL 吗?非常感谢。


如果不熟悉 Grails,可以简单地下载它,然后创建一个域类——有一个命令行选项。然后给它字段String firstName,String lastName。然后有一些命令可以为它生成一个控制器和视图——这都是完全自动的。然后添加插件 spring-security-core。在本文档的第 16/17 章中,正如我所展示的,when 列出了哪些控制器操作是安全的,例如 person/edit。

4

2 回答 2

5

实际上,这里的 Jetty 部分已经足够使用我们在 Jetty 9.0.6 发行版中提供的默认试用密钥库了。

只需您上面的简介就足以使 SSL 在 Jetty 中工作。我下载了 9.0.6 发行版并取消了对这些行的注释,它可以正常工作。好吧,我不得不进入 start.d/demo.ini 文件并使用 etc/jetty-ssl.xml 和 etc/jetty-https.xml 删除最后两行,因为它们会运行两次......但我离题了.

如果你启动 Jetty,你可以导航到https://localhost:8443它会抱怨是一个不受信任的证书,然后加载 Jetty 分发页面。

基于此,我会说这可能是某种 grails 配置问题,很遗憾我也不知道答案,抱歉。

于 2013-10-11T01:39:19.617 回答
0

从 Jetty 9.1 开始,事情发生了变化,根据 Jetty 开发人员,您必须按照此处的说明进行操作,以使事情看起来正确。此外,您不应该更改/删除/编辑${jetty.home}'s 目录中的任何内容。在 Jetty 9.1+ 上,您需要为基于 SSL/HTTPS 的自签名证书执行以下操作:

(a) 设置您的环境变量$JETTY_HOME以指向您安装码头 tar 包的位置,例如/opt/jetty/.

(b) 创建一个新目录,/tmp/myJettyApp将其指向$JETTY_BASE您的环境。

(c) 裁减到$JETTY_BASE

(d) 遵循此处的说明:

/home/sonny $ cd $JETTY_BASE
/tmp/myJettyApp/ $ java -jar $JETTY_HOME/start.jar --add-to-startd=https,http2

(e) 如果您愿意,请设置您的端口:

/home/sonny $ cd $JETTY_BASE;
/tmp/myJettyApp/ $ java -jar $JETTY_HOME/start.jar jetty.ssl.port=8444

(f) 现在,运行码头:

/tmp/myJettyApp/ $ java -jar $JETTY_HOME/start.jar

你会看到 HTTPS 在 8444 端口上运行。现在,如果你想让码头在传统的 HTTPS 端口上监听,你必须使用 sudo 来运行:

/tmp/myJettyApp/ $ java -jar $JETTY_HOME/start.jar jetty.ssl.port=443
/tmp/myJettyApp/ $ sudo java -jar $JETTY_HOME/start.jar

请注意,这已经自动完成了自签名证书等。

现在,如果您想生成自己的自签名证书(例如,因为您想根据需要将 修改validity为任意大小的值),请按照此处的说明,使用生成新的自签名证书keytool然后将其放入$JETTY_BASE/etc/并分别修改$JETTY_BASE/start.d/ssl.iniforjetty.sslContext.keyStorePasswordjetty.sslContext.keyManagerPassword。顺便说一句,对于最后两个ssl.ini密码,您可以使用运行时使用的混淆纯文本密码keytool或使用纯文本密码。如果你想混淆它们,运行{jetty.home} $ java -cp lib/jetty-util-9.3.6.v20151106.jar org.eclipse.jetty.util.security.Password "MyInterestingAndAwesomePassword"

希望这可以帮助某人。

于 2015-12-25T21:39:10.487 回答