/
SSL-certifikat för säker kommunikation

SSL-certifikat för säker kommunikation

Owned by Uffe Svensson
Last updated: 2024-10-18
8 min read

Den här dokumentationen innehåller procedur för att installera, underhålla och administrera SSL-certifikat som möjliggör säker kommunikation via https-protokollet mellan Weave och slutanvändare.

Installera certifikat

För att förenkla processen att lägga till nytt certifikat använder vi verktyget Portecle som kan hantera flera typer av certifikat och ajourföring av nyckelförråd. Den finns tillgänglig NKO-P-IKART01 under D:\program\portecle-1.11.

Portacle är ett Java-baserat program och startas genom kommandot:

..\jre1.8.0_251\bin\java.exe -jar portecle.jar

Där vi förutsätter att vi kör kommandot från D:\program\portecle-1.11

Nyckelförråd

Ett Nyckelförråd (Keystore) används av plattformen för att på ett säkert sätt spara privata nycklar, certifikat och symmetriska nycklar. I kontexten förmedlas säker kommunikation via SSL/TLS med det installerade certifikatet som garant att vi är den vi utger oss att vara. I detta fall interngis.nacka.se. Certifikatet är i regel giltigt under 12 månader i taget.

Skapa nytt nyckelförråd

Om inget nyckelförråd finns tillgänglig sedan tidigare kan ett nytt skapas. Befintligt nyckelförråd ska finnas på följande sökväg: D:\program\weave_2.6\jetty_base\etc\jetty.jks

Om nyckelförrådet redan existerar, fortsätt till Lägga till nytt certifikat

  1. Öppna Portecle och välj File -> “New Keystore…”

    image-20240828-092709.png

  2. Välj “JKS” som format.

  3. Välj File -> “Save Keystore As…”

  4. Skriv in lösenord som ska gälla för nyckelförrådet och välj OK. Spara lösenordet, det kommer användas i konfigurationen för SSL.

  5. Spara lösenordet i katalogen D:\program\weave_2.6\jetty_base\etc\ och med namnet jetty.jks

Lägga till certifikat

Att lägga till ett nytt certifikat sker i två steg. Dels en konvertering av formatet (.pfx) av certifikatet till ett format som kan importeras i nyckelförrådet samt importen av certifikatet.

Konvertera certifikatet

  1. Öppna Portecle och välj File -> “Open Keystore file…”

    image-20240828-092558.png

  2. Navigera till katalogen där certifikatet (exempelvis star_nacka_se_2024-2025_w_certchain.pfx) finns och öppna det.

  3. Fyll i eventuellt lösenord för certifikatet och välj OK. När certifikatet öppnats ska det finnas en rad.

  4. Högerklicka på raden och välj “export”

  5. Välj “Private Key and Certificate“ som Export Type och “PKCS#12“ som Export Format.

  6. Fyll i eventuellt lösenord för certifikatet på nytt och välj OK.

  7. Välj nytt lösenord och bekräfta det för certifikatet som ska exporteras och välj OK. Spara lösenordet, det används vid importen av certifikatet.

  8. Spara certifikatet, exempelvis nacka_se_Thawte_TLS_RSA_CA_G.p12

  9. Exporten är klar

Importera certifikat

När certifikatet har konverterats kan vi importera det i vårt nyckelförråd.

För att inte riskera att nuvarande nyckelförråd, jetty.jks, blir förvanskad av oförutsedd händelse, rekommenderas backup av filen innan ändring.

  1. Öppna Portecle och välj File -> “Open Keystore file…”. Öppna befintligt nyckelförråd, D:\program\weave_2.6\jetty_base\etc\jetty.jks

  2. Skriv in lösenord för nyckelförrådet (som angavs i punkt 4 under Skapa nytt nyckelförråd)

  3. Om ett tidigare certifikat existerar i nyckelförrådet ska det tas bort innan import.

    1. Markera certifikatet i Portecle och högerklicka på det.

    2. Välj “Delete“ och bekräfta.

    3. Det gamla certifikatet har tagits bort.

  4. Välj Tools -> “Import Key Pair…“

  5. Välj det konverterade certifikatet (som angavs i punkt 8 i Konvertera certifikatet) och ange lösenordet (punkt 7 i Konvertera certifikatet).

  6. Välj OK när dialogrutan öppnas.

  7. Välj en lämplig alias för lättare igenkänning.

  8. Välj nytt lösenord och bekräfta det för certifikatet som importerats och välj OK. Spara lösenordet, det används vid konfigurationen av SSL i Weave.

  9. Välj File -> “Save Keystore” för att spara nyckelförrådet.

  10. Det nya certifikatet har lagts till och nyckelförrådet uppdaterats. Weave måste startas om för att förändringen ska börja gälla.

Notera att om lösenorden ändrats för nyckelförrådet eller certifikatet måste korresponderande lösenord i ssl.ini uppdateras.

Konfigurera SSL i Weave

SSL-konfigurationen för Weave hanteras under katalogen D:\program\weave_2.6\jetty_base. Konfiguraionen sker i följande filer:

  • etc/jetty.xml

  • start.d/https.ini

  • start.d/ssl.ini

jetty.xml

Filen finns från början och behöver enbart ändras vid initial uppsättning av SSL/TLS. Det är i huvudsak två delar som ändras:

  1. Specificera securePort under httpConfig som bestämmer vilken port som https ska publiceras på. Standard för https är 443.

  2. Lägga till SecuredRedirectHandler som per automatik omdirigerar http-trafik till https. http://interngis.nacka.se blir https://interngis.nacka.se

https.ini

Aktiverar modulen för https

ssl.ini

Huvudsaklig konfiguration av SSL och koppling till certifikat. De huvudsakliga konfigurationsobjekten är:

  • jetty.ssl.port refererar till vilken port som https ska publiceras på.

  • jetty.sslContext.keyStorePath och jetty.sslContext.trustStorePath hänvisar till key- och truststore (jetty.jks) där certifikatet är placerat, relativt katalogen jetty_base.

  • För jetty.sslContext.keyStorePassword, jetty.sslContext.keyManagerPassword, jetty.sslContext.trustStorePassword fylls lösenord i för åtkomst till key- och truststore och certifikat.

Exempel

jetty.xml

Konfigurerad med securePort 443 samt omdirigering av http-trafik till https.

<?xml version="1.0"?><!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure_9_3.dtd"> <!-- =============================================================== --> <!-- Documentation of this file format can be found at: --> <!-- https://www.eclipse.org/jetty/documentation/current/ --> <!-- --> <!-- Additional configuration files are available in $JETTY_HOME/etc --> <!-- and can be mixed in. See start.ini file for the default --> <!-- configuration files. --> <!-- --> <!-- For a description of the configuration mechanism, see the --> <!-- output of: --> <!-- java -jar start.jar -? --> <!-- =============================================================== --> <!-- =============================================================== --> <!-- Configure a Jetty Server instance with an ID "Server" --> <!-- Other configuration files may also configure the "Server" --> <!-- ID, in which case they are adding configuration to the same --> <!-- instance. If other configuration have a different ID, they --> <!-- will create and configure another instance of Jetty. --> <!-- Consult the javadoc of o.e.j.server.Server for all --> <!-- configuration that may be set here. --> <!-- =============================================================== --> <Configure id="Server" class="org.eclipse.jetty.server.Server"> <Arg name="threadpool"><Ref refid="threadPool"/></Arg> <Call name="addBean"> <Arg><Ref refid="byteBufferPool"/></Arg> </Call> <!-- =========================================================== --> <!-- Add shared Scheduler instance --> <!-- =========================================================== --> <Call name="addBean"> <Arg> <New class="org.eclipse.jetty.util.thread.ScheduledExecutorScheduler"> <Arg name="name"><Property name="jetty.scheduler.name"/></Arg> <Arg name="daemon" type="boolean"><Property name="jetty.scheduler.daemon" default="false" /></Arg> <Arg name="threads" type="int"><Property name="jetty.scheduler.threads" default="-1" /></Arg> </New> </Arg> </Call> <!-- =========================================================== --> <!-- Http Configuration. --> <!-- This is a common configuration instance used by all --> <!-- connectors that can carry HTTP semantics (HTTP, HTTPS, etc.)--> <!-- It configures the non wire protocol aspects of the HTTP --> <!-- semantic. --> <!-- --> <!-- This configuration is only defined here and is used by --> <!-- reference from other XML files such as jetty-http.xml, --> <!-- jetty-https.xml and other configuration files which --> <!-- instantiate the connectors. --> <!-- --> <!-- Consult the javadoc of o.e.j.server.HttpConfiguration --> <!-- for all configuration that may be set here. --> <!-- =========================================================== --> <New id="httpConfig" class="org.eclipse.jetty.server.HttpConfiguration"> <Set name="secureScheme"><Property name="jetty.httpConfig.secureScheme" default="https" /></Set> <Set name="securePort"><Property name="jetty.httpConfig.securePort" deprecated="jetty.secure.port" default="443" /></Set> <Set name="outputBufferSize"><Property name="jetty.httpConfig.outputBufferSize" deprecated="jetty.output.buffer.size" default="32768" /></Set> <Set name="outputAggregationSize"><Property name="jetty.httpConfig.outputAggregationSize" deprecated="jetty.output.aggregation.size" default="8192" /></Set> <Set name="requestHeaderSize"><Property name="jetty.httpConfig.requestHeaderSize" deprecated="jetty.request.header.size" default="8192" /></Set> <Set name="responseHeaderSize"><Property name="jetty.httpConfig.responseHeaderSize" deprecated="jetty.response.header.size" default="8192" /></Set> <Set name="sendServerVersion"><Property name="jetty.httpConfig.sendServerVersion" deprecated="jetty.send.server.version" default="false" /></Set> <Set name="sendDateHeader"><Property name="jetty.httpConfig.sendDateHeader" deprecated="jetty.send.date.header" default="false" /></Set> <Set name="headerCacheSize"><Property name="jetty.httpConfig.headerCacheSize" default="4096" /></Set> <Set name="delayDispatchUntilContent"><Property name="jetty.httpConfig.delayDispatchUntilContent" deprecated="jetty.delayDispatchUntilContent" default="true"/></Set> <Set name="maxErrorDispatches"><Property name="jetty.httpConfig.maxErrorDispatches" default="10"/></Set> <Set name="blockingTimeout"><Property deprecated="jetty.httpConfig.blockingTimeout" name="jetty.httpConfig.blockingTimeout.DEPRECATED" default="-1"/></Set> <Set name="persistentConnectionsEnabled"><Property name="jetty.httpConfig.persistentConnectionsEnabled" default="true"/></Set> <Set name="requestCookieCompliance"><Call class="org.eclipse.jetty.http.CookieCompliance" name="valueOf"><Arg><Property name="jetty.httpConfig.requestCookieCompliance" deprecated="jetty.httpConfig.cookieCompliance" default="RFC6265"/></Arg></Call></Set> <Set name="responseCookieCompliance"><Call class="org.eclipse.jetty.http.CookieCompliance" name="valueOf"><Arg><Property name="jetty.httpConfig.responseCookieCompliance" default="RFC6265"/></Arg></Call></Set> <Set name="multiPartFormDataCompliance"><Call class="org.eclipse.jetty.server.MultiPartFormDataCompliance" name="valueOf"><Arg><Property name="jetty.httpConfig.multiPartFormDataCompliance" default="RFC7578"/></Arg></Call></Set> <Set name="relativeRedirectAllowed"><Property name="jetty.httpConfig.relativeRedirectAllowed" default="false"/></Set> <Call name="addCustomizer"> <Arg><New class="org.eclipse.jetty.server.ForwardedRequestCustomizer"/></Arg> </Call> <!--<Call name="addCustomizer"> <Arg><New class="org.eclipse.jetty.server.SecureRequestCustomizer" /></Arg> </Call>--> </New> <!-- =========================================================== --> <!-- Set the default handler structure for the Server --> <!-- A handler collection is used to pass received requests to --> <!-- both the ContextHandlerCollection, which selects the next --> <!-- handler by context path and virtual host, and the --> <!-- DefaultHandler, which handles any requests not handled by --> <!-- the context handlers. --> <!-- Other handlers may be added to the "Handlers" collection, --> <!-- for example the jetty-requestlog.xml file adds the --> <!-- RequestLogHandler after the default handler --> <!-- =========================================================== --> <Set name="handler"> <New id="Handlers" class="org.eclipse.jetty.server.handler.HandlerCollection"> <Set name="handlers"> <Array type="org.eclipse.jetty.server.Handler"> <Item> <New id="SecuredRedirectHandler" class="org.eclipse.jetty.server.handler.SecuredRedirectHandler"/> </Item> <Item> <New id="Contexts" class="org.eclipse.jetty.server.handler.ContextHandlerCollection"/> </Item> <Item> <New id="DefaultHandler" class="org.eclipse.jetty.server.handler.DefaultHandler"/> </Item> </Array> </Set> </New> </Set> <!-- =========================================================== --> <!-- extra server options --> <!-- =========================================================== --> <Set name="stopAtShutdown"><Property name="jetty.server.stopAtShutdown" default="true"/></Set> <Set name="stopTimeout"><Property name="jetty.server.stopTimeout" default="5000"/></Set> <Set name="dumpAfterStart"><Property name="jetty.server.dumpAfterStart" deprecated="jetty.dump.start" default="false"/></Set> <Set name="dumpBeforeStop"><Property name="jetty.server.dumpBeforeStop" deprecated="jetty.dump.stop" default="false"/></Set> </Configure>

https.ini

Aktivering av https-modul

# --------------------------------------- # Module: https # Settings located in jetty_base/start.d/https.ini # --------------------------------------- --module=https

ssl.ini

Konfiguration för SSL på port 443 samt hänvisning till nyckförråd etc/jetty.jks

### TLS(SSL) Connector Configuration # --------------------------------------- # Module: ssl # Settings located in jetty_base/start.d/ssl.ini # --------------------------------------- --module=ssl ## Connector host/address to bind to # jetty.ssl.host=0.0.0.0 ## Connector port to listen on jetty.ssl.port=443 ## Connector idle timeout in milliseconds # jetty.ssl.idleTimeout=30000 ## Number of acceptors (-1 picks default based on number of cores) # jetty.ssl.acceptors=-1 ## Number of selectors (-1 picks default based on number of cores) # jetty.ssl.selectors=-1 ## ServerSocketChannel backlog (0 picks platform default) # jetty.ssl.acceptQueueSize=0 ## Thread priority delta to give to acceptor threads # jetty.ssl.acceptorPriorityDelta=0 ## The requested maximum length of the queue of incoming connections. # jetty.ssl.acceptQueueSize=0 ## Enable/disable the SO_REUSEADDR socket option. # jetty.ssl.reuseAddress=true ## Enable/disable TCP_NODELAY on accepted sockets. # jetty.ssl.acceptedTcpNoDelay=true ## The SO_RCVBUF option to set on accepted sockets. A value of -1 indicates that it is left to its default value. # jetty.ssl.acceptedReceiveBufferSize=-1 ## The SO_SNDBUF option to set on accepted sockets. A value of -1 indicates that it is left to its default value. # jetty.ssl.acceptedSendBufferSize=-1 ## Connect Timeout in milliseconds # jetty.ssl.connectTimeout=15000 ## Whether SNI is required for all secure connections. Rejections are in TLS handshakes. # jetty.sslContext.sniRequired=false ## Whether SNI is required for all secure connections. Rejections are in HTTP 400 response. # jetty.ssl.sniRequired=false ## Whether request host names are checked to match any SNI names # jetty.ssl.sniHostCheck=true ## max age in seconds for a Strict-Transport-Security response header (default -1) # jetty.ssl.stsMaxAgeSeconds=31536000 ## include subdomain property in any Strict-Transport-Security header (default false) # jetty.ssl.stsIncludeSubdomains=true ### SslContextFactory Configuration ## Note that OBF passwords are not secure, just protected from casual observation ## See http://www.eclipse.org/jetty/documentation/current/configuring-security-secure-passwords.html ## The Endpoint Identification Algorithm ## Same as javax.net.ssl.SSLParameters#setEndpointIdentificationAlgorithm(String) #jetty.sslContext.endpointIdentificationAlgorithm= ## SSL JSSE Provider # jetty.sslContext.provider= ## Keystore file path (relative to $jetty.base) jetty.sslContext.keyStorePath=etc/jetty.jks ## Truststore file path (relative to $jetty.base) jetty.sslContext.trustStorePath=etc/jetty.jks ## Keystore password jetty.sslContext.keyStorePassword=OBF:1ytaU12luU0wh11vgfU0k2sU0mo31ytc ## Keystore type and provider # jetty.sslContext.keyStoreType=JKS # jetty.sslContext.keyStoreProvider= ## KeyManager password jetty.sslContext.keyManagerPassword=OBF:1ytaU12luU0wh11vgfU0k2sU0mo31ytc ## Truststore password jetty.sslContext.trustStorePassword=OBF:1ytaU12luU0wh11vgfU0k2sU0mo31ytc ## Truststore type and provider # jetty.sslContext.trustStoreType=JKS # jetty.sslContext.trustStoreProvider= ## whether client certificate authentication is required # jetty.sslContext.needClientAuth=false ## Whether client certificate authentication is desired # jetty.sslContext.wantClientAuth=false ## Whether cipher order is significant (since java 8 only) # jetty.sslContext.useCipherSuitesOrder=true ## To configure Includes / Excludes for Cipher Suites or Protocols see tweak-ssl.xml example at ## https://www.eclipse.org/jetty/documentation/current/configuring-ssl.html#configuring-sslcontextfactory-cipherSuites ## Set the size of the SslSession cache # jetty.sslContext.sslSessionCacheSize=-1 ## Set the timeout (in seconds) of the SslSession cache timeout # jetty.sslContext.sslSessionTimeout=-1 ## Allow SSL renegotiation # jetty.sslContext.renegotiationAllowed=true # jetty.sslContext.renegotiationLimit=5

 

 

Related content

Konfigurationsflöde
Konfigurationsflöde
Gävle iKartan
Read with this
Skador i verksamheten (SIV)
Skador i verksamheten (SIV)
iKartan användarhanledning
More like this
Weave
Weave
Ikartans Produkter
More like this
Kontrollpanelen
Kontrollpanelen
iKartan användarhanledning
More like this
Webbklienten
Webbklienten
iKartan användarhanledning
More like this
API-dokumentation
API-dokumentation
iKartan användarhanledning
More like this