Glassfish v4 和 SSL - 管理员不再工作

【问题标题】:Glassfish v4 & SSL - admin no longer worksGlassfish v4 和 SSL - 管理员不再工作
【发布时间】:2016-01-21 22:39:42
【问题描述】:

我已经完成了将 SSL 证书添加到 glassfish v4 的步骤。我已经验证它可以通过浏览器和我的 java swing 客户端工作(我在客户端使用 apache 的 http 客户端库)

管理控制台不起作用!自从成功导入 SSL 后,我无法再连接到管理控制台 http://www.myhost.com:4848,我仍然看到登录屏幕,一直有效的管理员用户名/密码组合已停止工作。我在尝试从 netbeans 部署 Web 应用程序时也注意到了一些问题,但我还没有研究足够多的东西来知道它是否是同一个问题。

以下是我添加 ssl 证书的步骤。这些是直接从 glassfish v4 安全指南 p1-26 到 p1-29 中提取的。我确实添加了一个更改主密码的步骤,但我应该早点这样做,但我把它包括在这里。为了我的隐私,我还在以下步骤中省略或更改了某些文件夹名称,但除此之外,我已从终端应用程序中复制了所有这些名称。

有人知道管理员出了什么问题吗?需要注意的一件事 - 遵循 glassfish 的管理员和安全指南说我可以重写 s1as 别名。您会注意到我在以下步骤中使用证书时使用了该别名

提前感谢您的帮助!

第 1 步 - 停止服务器

/usr/home/myhost                                                                                                                                                                                                                                           
110 % glassfish4/bin/asadmin stop-domain domain1
Waiting for the domain to stop .
Command stop-domain executed successfully.

第 2 步 - 更新主密码

/usr/home/myhost
110 % glassfish4/bin/asadmin
Use "exit" to exit and "help" for online help.
asadmin> change-master-password domain1
Enter the current master password>
Enter the new master password>
Enter the new master password again>
Command change-master-password executed successfully.
asadmin> exit
Command multimode executed successfully.

第 3 步 - 切换到密钥文件目录

/usr/home/myhost
111 % cd glassfish4/glassfish/domains/domain1/config/

第 4 步 - 从密钥库中删除 s1as

/usr/home/myhost/glassfish4/glassfish/domains/domain1/config
113 % keytool -delete -alias s1as -keystore keystore.jks
Enter keystore password:

第 5 步 - 生成新的密钥对

/usr/home/myhost/glassfish4/glassfish/domains/domain1/config
114 % keytool -genkey -alias s1as -keyalg RSA -keystore keystore.jks -keysize 2048
Enter keystore password:
What is your first and last name?
[Unknown]:  www.myhost-dev.com
What is the name of your organizational unit?
[Unknown]:  development
What is the name of your organization?
[Unknown]:  myhost, inc
What is the name of your City or Locality?
[Unknown]:  mycity
What is the name of your State or Province?
[Unknown]:  mystate
What is the two-letter country code for this unit?
[Unknown]:  us
Is CN=www.myhost-dev.com, OU=development, O="myhost, inc", L=mycity, ST=mystate, C=us correct?
Enter key password for <s1as>
(RETURN if same as keystore password):

第 6 步 - 生成证书签名请求 (CSR)

/usr/home/myhost/glassfish4/glassfish/domains/domain1/config
115 % keytool -certreq -alias s1as -file toSymantec02.csr -keystore keystore.jks
Enter keystore password:

第 7 步 - 向 symantec 提交 CSR

第 8 步 - 将中间证书和 ssl 证书从 symantec 复制到配置目录中

第 9 步 - 导入中间证书

/usr/home/myhost/glassfish4/glassfish/domains/domain1/config
115 % keytool -import -trustcacerts -alias Intermediate -keystore keystore.jks -file IntermediateCA.crt
Enter keystore password:
Certificate was added to keystore

第 10 步 - 导入 ssl 证书

/usr/home/myhost/glassfish4/glassfish/domains/domain1/config
116 % keytool -import -trustcacerts -alias s1as -keystore keystore.jks -file ssl_certificate.crt
Enter keystore password:
Certificate reply was installed in keystore

第 11 步 - 重启服务器

/usr/home/myhost
118 % glassfish4/bin/asadmin start-domain domain1
Enter master password (3) attempt(s) remain)>
Waiting for domain1 to start ...............................
Successfully started the domain : domain1
domain  Location: /usr/home/myhost/glassfish4/glassfish/domains/domain1
Log File:/usr/home/myhost/glassfish4/glassfish/domains/domain1/logs/server.log
Admin Port: 4848
Command start-domain executed successfully.

【问题讨论】:

    标签: java ssl https glassfish


    【解决方案1】:

    问题几乎可以肯定是 s1as 证书的可分辨名称 (DN) 已更改,但安全管理主体尚未更新。

    有一个 asadmin 命令 (enable-secure-admin-principal) 允许您手动更新它,但您也可以再次运行 enable-secure-admin(即使已启用安全管理员)。此命令将调用与上一个命令相同的代码,并将安全管理员主体替换为来自管理员证书别名 (s1as) 的正确管理员。

    然后您需要重新启动 GlassFish 以使更改生效,但您随后将能够登录到管理控制台。

    根本原因是管理控制台本质上是与您的登录一起执行 2-way SSL,因此您的用户名和密码已为您验证,管理员用户,然后管理控制台本身使用 DN 验证为用户 ID 和 s1as 密钥作为密码。这是因为管理控制台通过 REST 与 DAS 通信,并且需要将自己标识为受信任的客户端。

    希望所有这些背景对您有所帮助,但 TL;DR 如下:

    1. 再次运行enable-secure-admin
    2. 重启域

    【讨论】:

    • 迈克!非常感谢先生!您的建议起到了作用 - 也感谢您提供背景信息
    【解决方案2】:

    非常感谢@cotfessi 和@Mike,你们的帖子确实帮助我在 Glassfish 4.1 中安装 SSL 证书...非常感谢!

    我只想添加一些我必须做的额外步骤,这些是:

    第 10 步 - 导入 ssl 证书之后

    • 从 keystore.jks 导出别名 s1as

    keytool -export -alias s1as -file server.cer -keystore keystore.jks

    • 从 cacerts.jks 中删除别名 s1as

    keytool -delete -alias s1as -keystore cacerts.jks

    • 使用 server.cer 将别名 s1as 导入到 cacerts.jks

    keytool -import -v -trustcacerts -alias s1as -keystore cacerts.jks -file server.cer

    稍后继续第 11 步 - 重新启动服务器

    我还想添加一些对在 GoDaddy 中购买 SSL 证书的人有用的信息...

    • 好吧,我在 GoDaddy 购买了 SSL,我必须按照 @cotfessi 在步骤 6步骤 7 中的描述将我的 (CSR) 发送给他们,所以我收到了带有一些关于下载带有证书的 zip 的说明的电子邮件,所以当我去下载它时,我发现他们有一个列表选项,格式为 Server type,它有多个选项,如 Apache、Tomcat , IIS... 和其他,所以我选择了 other 选项并下载了 zip,当我解压它时,我注意到有 2 个文件,一个名为 4a0BlaBlaBlaBla8.crt (Bla 仅用于示例目的)仅包含一个带有 ---BEGIN/END CERTIFICATE--- 的部分,而另一部分的名称类似于 gd_bundle-g2-g1.crt 包含 3 ---BEGIN/END CERTIFICATE- -- 部分,所以我使用 4a0BlaBlaBlaBla8.crt 作为我的 ssl_certificate.crt 和 gd_bundle-g2-g1.crt 作为我的 IntermediateCA.crt。我想分享这个,因为它可能会让 GoDaddy 用户有点困惑(我认为......)

    我还想推荐这篇文章,它帮助我将我的 HTTP 流量重定向到 HTTPS,而无需对 Glassfish 进行额外配置(仅限于我的 Web 应用程序):how to redirect http to https with glassfish v4

    【讨论】:

      猜你喜欢
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式