Discussion :

[patchukohop]

Bonjour,

J'essaye désespérément d'installer Tomcat avec une connexion SSL. Je n'arrive pas à le faire tourner. J'ai essayé de deux manières :

Avec keytool :
Fichier server.xml :
...
<Connector port="8443" protocol="HTTP/1.1"
SSLEnabled="true" sslProtocol="TLS"
scheme="https" secure="true"
maxThreads="150" minSpareThreads='25' maxSpareThreads='75'
enableLookups='False' disableUploadTimeout="true"
acceptCount="100" debug="0"
clientAuth="false"
keyStoreFile="/chemin/vers/mon/keystore" keystorePass="monpass"
keyAlias="mon.serveur.com" keypass="monpass" />
...

Avec un certificat SSL :
Fichier server.xml :
...
<Connector port="8443" protocol="HTTP/1.1"
SSLEnabled="true" sslProtocol="TLS"
scheme="https" secure="true"
maxThreads="150" minSpareThreads='25' maxSpareThreads='75'
enableLookups='False' disableUploadTimeout="true"
acceptCount="100" debug="0"
SSLVerifyClient="none"
SSLCACertificateFile="/mon/fichier/ca.crt"
SSLCertificateFile="/mon/fichier/certificat.crt"
SSLCertificateKeyFile="/mon/fichier/cle.key"
/>
...

Quand je redémarre tomcat, le port 8080 continue de fonctionner sur le HTTP non sécurisé mais pas de port 8443 en écoute ...

Please help !

Merci d'avance

[patchukohop]

Je suis sous Linux Ubuntu avec Tomcat 6

[jfsenechal]

J'essaie aussi et il n'y pas moyen

Voici ma situation :

tomcat6 + debian lenny

J'ai des certificats officiels que j'utilise déjà pour mes serveurs web (443)
et mail (imaps et pops)

J'ai 3 certificats

server.key
server.crt
server-ca.crt

ce dernier contient 3 autorités : Verisgn,Gov,Belgium

J'ai essayé de les ajouter dans keystore :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
keytool -import -trustcacerts -alias root -file /etc/apache2/ssl/server-ca.crt -keystore /var/lib/tomcat6/ssl/my.keystore -storepass mdp

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
keytool -importcert -alias tomcat -file /etc/apache2/ssl/server.crt -keystore /var/lib/tomcat6/ssl/my.keystore -storepass mdp

Dans mon server.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               keystorePass="mdp"
               clientAuth="false" sslProtocol="TLS" />

J'ai essayé des versions :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
keyAlias="tomcat"  keystoreFile="/var/lib/tomcat6/ssl/my.keystore"

J'ai essayé des conversions de mes certs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
openssl pkcs12 -export -in /etc/apache2/ssl/server.crt -inkey /etc/apache2/ssl/server.key -out mycert.p12 -name tomcat -CAfile /etc/apache2/ssl/server-ca.crt -caname root -chain

Mais rien n'y fait, le ssl ne fonctionne pas

J'ai comme erreurs

java.io.IOException: jsse.invalid_ssl_conf

Caused by: javax.net.ssl.SSLException: No available certificate or key corresponds to the SSL cipher suites which are enabled.

LifecycleException: service.getName(): "Catalina"; Le demarrage du gestionnaire de protocole a echoue: java.io.IOException: jsse.invalid_ssl_conf

Bref je suis à cour d'idées...

Si une bonne âme pouvait m'aiguiller...

[molbento]

Bonjour,

Avez-vous réussit a résoudre votre problème je rencontre le même.

J'utilise également un keystore

[jfsenechal]

ça fait un baille

voici mes commandes qui marchaient :

http://www.afmlibre.be/mettre_le_ser..._un_tunnel_ssl

j'ai hélas perdu mes notes pour la compréhension

[molbento]

Merci pour la réponse mais je pense que le keystore que j'utilise est bon je pense que mon problème vient plutôt de la configuration du fichier server.xml :

<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="443"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
maxHttpHeaderSize="24576"
URIEncoding="UTF-8"
useBodyEncodingForURI="true"
compression="on"
compressableMimeType="text/html,text/xml,text/plain,text/javascript,text/css"
sslProtocol="TLS"
keystoreFile="/etc/ssl/web/.keystore"
keystorePass="password"
/>


quand je lance mon server tomcat j'ai les messages suivant dans logs/catalina.out :
GRAVE: Erreur Ã* l'initialisation du point de contac
java.io.IOException: jsse.invalid_ssl_conf
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.checkConfig(JSSESocketFactory.java:755)

[molbento]

Bonjour j'avance petit à petit sur le problème mais je n'arrive toujours pas à le résoudre.

Voici ma configuration actuel de mon server.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
               keystoreFile="conf/.keystore"
               URIEncoding="UTF-8" useBodyEncodingForURI="true"
               compression="on" compressableMimeType="text/html,text/xml,text/pl
ain,text/javascript,text/css" />

Quand je démarre mon serveur tomcat j'obtiens l'erreur suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
5 juil. 2011 10:20:47 org.apache.tomcat.util.net.JIoEndpoint$Acceptor run
GRAVE: Socket accept failed
java.net.SocketException: SSL handshake errorjavax.net.ssl.SSLException: No available certificate or key corresponds to the SSL cipher suites which are enabled.
        at org.apache.tomcat.util.net.jsse.JSSESocketFactory.acceptSocket(JSSESocketFactory.java:150)
        at org.apache.tomcat.util.net.JIoEndpoint$Acceptor.run(JIoEndpoint.java:310)
        at java.lang.Thread.run(Thread.java:619)

J'ai ensuite effectuer une recherche sur le web sur cette erreur. elle est référencé dans la doc TOMCAT : Doc TOMCAT

Voici ce que dit cette doc :

When Tomcat starts up, I get an exception like "java.net.SocketException: SSL handshake errorjavax.net.ssl.SSLException: No available certificate or key corresponds to the SSL cipher suites which are enabled."

A likely explanation is that Tomcat cannot find the alias for the server key withinthe specified keystore. Check that the correct keystoreFile and keyAlias are specified in the <Connector> element in the Tomcat configuration file. REMINDER - keyAlias values may be case sensitive!


Mais quand je modifie mon fichier server.xml en ajoutant la varaible KeyAlias='tomcat' cela ne fonctionne pas plus.

Voici l'erreur que j’obtiens dans le fichier catalina.out.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
java.io.IOException: Le nom alias tomcat n'identifie pas une entr�e de clef
.....
LifecycleException:  L'initialisation du gestionnaire de protocole a �chou�: java.io.IOException: Le nom alias tomcat n'identifie pas une entr�e de clef

Que dois-mettre dans la variable KeyAlias ?

Voici le contenu de mon fichier keystore :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 keytool -list -keystore .keystore
Tapez le mot de passe du Keystore :

Type Keystore : JKS
Fournisseur Keystore : SUN

Votre Keystore contient 3 entrée(s)

root, 5 juil. 2011, trustedCertEntry,
Empreinte du certificat (MD5) : D6:6A:92:1C:83:BF:A2:AE:6F:99:5B:44:E7:C2:AB:2A
tomcat, 5 juil. 2011, trustedCertEntry,
Empreinte du certificat (MD5) : F5:79:93:94:C1:F3:1A:FA:18:9B:D5:FC:E0:4D:32:85
intermediate, 5 juil. 2011, trustedCertEntry,
Empreinte du certificat (MD5) : EB:A3:71:66:38:5E:3E:F4:24:64:ED:97:52:E9:9F:1B

Est-il possible d'insérer une clé privé dans le keytool (clé privé qui a servi a générer le certificat ? Car je remarque que dans mon keystore je n'ai que des certificats trustedCertEntry et pas de PrivateKeyEntry . Comment faire pour insérer une clé privé mondomaine.key dans le keystore ?