Categoría: Windows Server
Deshabilitar SSLv3 y habilitar TLSv1.2 en Apache Tomcat
No hace mucho instalé un certificado en un Windows Server 2012, a la hora de instalarlo active el SSLv3 que esta obsoleto ya que tiene una vulnerabilidad grave (POODLE). A continuación explicaré como deshabilitar el SSLv3 y activar el protocolo TLS.
Lo primero será ir al directorio conf de la carpeta de Tomcat y editar el fichero server.xml. Dentro buscaremos el conector:
sslProtocol="TLS"
Lo eliminamos para deshabilitar el SSL y escribimos lo siguiente:
sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
Esto sirve tanto si se usa Tomcat 7 como 8, si fuera Tomcat 6 es:
SSLProtocol="TLSv1"
Ahora solo hay que guarda el fichero y reiniciar el servicio de Tomcat. Con esto ya tendremos activado el protocolo TLS.
Caracteres en script Bash
Recientemente tuve que hacer un script para copiar múltiples ficheros en distintas carpetas, pero la mayoría de las carpetas tenían tildes, con lo que me daba un error el script porque los veía como otros caracteres y no encontraba la carpeta. Intente cambiar a formato UTF y Unicode pero el script también fallaba, así que buscando en la red encontré la solución, añadir la siguiente línea al inicio del script:
@Echo OFF & CHCP 1252 1>NUL
Fuente: elhacker.net
Instalación de certificado en Tomcat 8 en Windows Server 2012
A continuación dejaré los pasos para instalar un certificado en un Tomcat 8.0.14 en un sistema operativo Windows Server 2012. El certificado que yo instalé fue adquirido a Thawte. El Java es la versión JRE7.
Lo primero es abrir el cmd como administrador y añadiremos la libreria del Java para poder trabajar con sus herramientas:
> set PATH=%PATH%;C:\Program Files\Java\jre7\bin
Luego se debe generar el almacén de claves:
> keytool -genkey -alias tomcat -keyalg RSA –keystore keystore.jsk
Y a continuación se crea el archivo csr que se envía para ser firmado por la entidad certificadora:
> keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr –keystore keystore.jsk
Una vez que se tenga el certificado firmado se procede a su instalación, lo primero será instalar el certificado Root:
> keytool -import -alias root -keystore keystore.jks -trustcacerts -file CertRoot.crt
Luego se instala el certificado intermedio:
> keytool -import -alias intermediate -keystore keystore.jks -trustcacerts -file CertCA.crt
Finalmente se instala el certificado firmado:
> keytool -import -alias tomcat -keystore keystore.jks -file certificat.crt
Se deber ir a la carpeta del Tomcat, dentro hay una carpeta conf donde esta toda la configuración, añadir el siguiente texto dentro del archivo server.xml
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:\Program Files\Tomcat 8.0\cert\keystore.jks"
keystorePass="changeit"/>
Reiniciar el Tomcat y acceder a https://localhost/ o localhost:443 para comprobar que funciona correctamente.
También podemos comprobar que funciona correctamente con el Openssl, para ello se debe descargar de la web oficial e instalarlo, yo utilice la versión 1.0.1j de 64bits.
Una vez instalado ir al cmd como administrador y añadir la librería del OpenSSL:
> set PATH=%PATH%;C:\OpenSSL-Win64\bin
Y añadir el archivo de configuración:
> set OPENSSL_CONF=c:\OpenSSL-Win64\bin\openssl.cfg
Para comprobar el si esta funcionado correctamente el certificado escribir:
> openssl s_client –connect ticket.lapedrera.com:443
También os recomiendo la siguientes webs una vez publicado vuestro certificado para comprobar su estado:
https://www.digicert.com/help/
https://ssltools.thawte.com/checker/views/certCheck.jsp
https://www.sslshopper.com/ssl-checker.html
ITiramos 