Forums

Home » Liferay Portal » Deutsch

Combination View Flat View Tree View
Threads [ Previous | Next ]
toggle
lutz Bremen
Liferay + SSL? How to?
November 27, 2012 12:55 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

Hallo Freunde,

Hat jemand ein sinnvollen HowTo wie man in Liferay ein SSL Zertifikat einbinded? bzw. in den Tomcat einbinded?

Danke im Voraus

LD L
Olaf Kock
RE: Liferay + SSL? How to?
November 27, 2012 1:12 AM
Answer

Olaf Kock

LIFERAY STAFF

Rank: Liferay Legend

Posts: 1892

Join Date: September 23, 2008

Recent Posts

Moin,

wenn's nur um das Anbieten einer https Verbindung (statt http) geht, hilft jedes Tutorial für Tomcat oder Apache (ich rate dazu, https in Apache zu realisieren, Apache macht eh Sinn als Frontend für Tomcat. Das ist komplett unabhängig von Liferay.
Dennis Greiffenberg
RE: Liferay + SSL? How to?
November 27, 2012 1:16 AM
Answer

Dennis Greiffenberg

Rank: Regular Member

Posts: 222

Join Date: April 30, 2007

Recent Posts

Hi Lutz,

dazu gibt es einen ganz tauglichen Artikel in Liferay's Wiki.
Darüber hinaus noch diverse andere Artikel, falls Du vorhast, Dein eigenes Zertifikat zu erstellen, bspw. hier oder hier, jeweils in Verbindung mit einem vorgeschalteten Apache. Letzteres dürfte eh die zu bevorzugende Variante sein...

HTH,
Dennis
lutz Bremen
RE: Liferay + SSL? How to?
November 27, 2012 4:19 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

Ok um das nochmal etwas zu spezifizieren.

wie haben ein laufendes Liferay auf einem host-europe virtual server. wir haben ein SSL-zertifikat gekauft und wollen nun, dass der server sowohl unter http als auch unter https erreichbar ist. im plesk vom server hat mein chef das schon eingebunden.

wie genau gehe ich nun vor?
lutz Bremen
RE: Liferay + SSL? How to?
December 6, 2012 1:32 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

I want to add an ssl certificate to my tomcat. i boutght a certificate from our webhoster. i added it to the keystore via keytool und it shows me that i imported the certificate. then i changed the server.xml with

1<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/webapps/kaeferlive.keystore" keystorePass="changeit" clientAuth="false" sslProtocol="TLS"/>


but i cant connect via https.

am i missing anything?

greetz

was mache ich falsch????
Dennis Greiffenberg
RE: Liferay + SSL? How to?
December 6, 2012 1:44 AM
Answer

Dennis Greiffenberg

Rank: Regular Member

Posts: 222

Join Date: April 30, 2007

Recent Posts

Wie ist denn das Verhalten des Servers?

Wirst Du beim Versuch des Zugriffs auf https://deine.url.com auf http://deine.url.com weitergeleitet?
...oder bekommst Du einen Fehler? Wenn ja: welchen?
Steht dazu was im Log?

Benutzt Du ein Linux-System? Dann wäre der Pfad zum Zertifikat nämlich absolut, und ich bezweifel, dass "/webapps" der root-Pfad ist.
Als einfachen Lösungsansatz würde ich hier tatsächlich mal den gesamten absoluten Pfad eintragen, bspw.
1/home/tomcat/liferay-xyz/tomcat/webapps/kaeferlive.keystore


HTH,
Dennis
lutz Bremen
RE: Liferay + SSL? How to?
December 6, 2012 2:15 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

Das ist der Fehler, den ich im Browser (Chrome) bekomme
1Die Webseite unter https://www.kaeferlive.de/ ist möglicherweise vorübergehend nicht verfügbar oder wurde dauerhaft an eine neue Webadresse verschoben.
2Fehler 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Unbekannter Fehler.


im log kann ich nix erkennen, was dazu gehört und was mit ssl zu tun hat. ich nutze eine windows vm mit dem tomcat. ich habe jetzt mal den pfade eingegeben, aber das bring auch nix.

ich ich benutz die .keystore datei die unter benutzer administrator liegt. wie kann ich testen, ob die überhaupt das zertifikat enthält? oder gibts vllt noch ne andere die iwo liegt?
Dennis Greiffenberg
RE: Liferay + SSL? How to?
December 6, 2012 2:17 AM
Answer

Dennis Greiffenberg

Rank: Regular Member

Posts: 222

Join Date: April 30, 2007

Recent Posts

Mit Hilfe der SSL-Tools kannst Du auf jeden Fall den keystore auslesen. Da wirst Du bei google sicher schnell fündig werden (auswendig weiß ich das auch nicht).
lutz Bremen
RE: Liferay + SSL? How to?
December 6, 2012 2:29 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

ja das ist kein Problem das habe ich gemacht. Da steht das Zertifikat drin. Aber woher weiss ich denn, wenn ich die -list abfrage mache, ob das auch der keystore ist, der in dem benutzerordner liegt?
lutz Bremen
RE: Liferay + SSL? How to?
December 6, 2012 3:58 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

also ich habe jetzt mit
1keytool -importcert -file C.\User\Administrator\Downloads\xxx.crt.txt -keystore kaeferlive.de

das Zertifikat eingebunden bekomme auch die meldung das es drin istu nd die Werte sehen gut aus. aber wie kreige ich jetzt das in dem Tomcat. abscheinen wenn ich dann mit -list den keystore aufrufe, der in dem Administratorverzeichnis liegt, dann sagt er mir kein Eintrag. wo ist also der keystore mti dem Zertifikat jetzt hin ?
Christoph Rabel
RE: Liferay + SSL? How to?
December 10, 2012 12:27 AM
Answer

Christoph Rabel

Rank: Regular Member

Posts: 150

Join Date: September 24, 2009

Recent Posts

Fangen wir mal mit dem Keystore an, auf das der OK sei. Wenn du folgendes schreibst, kommt was zurück?

keytool -list -keystore [FULL_PATH_TO]\kaeferlive.de [-storepass storepass]
(Mit -v als Param kannst du dir Zertifikatsdetails ausgeben lassen)

Das gibt bei mir folgendes
chaincert, Oct 13, 2011, trustedCertEntry,
Certificate fingerprint (MD5): xxx
tomcat, Oct 13, 2011, PrivateKeyEntry,
Certificate fingerprint (MD5): xxx
rootcert, Oct 13, 2011, trustedCertEntry,
Certificate fingerprint (MD5): xxx

Bitte beachte, dass "tomcat" der Default Alias ist vom Tomcat ist. Den habe ich beim Import explizit mit "-alias tomcat" angegeben. Wenn dein Zertifikat einen anderen Namen hat, musst du das konfigurieren. Es könnte sein, dass der Default Alias vom keytool "server" ist. Weiß es aber nicht mehr genau, importiere immer mit explizit angegebenen Parametern.

Bitte beachte auch, dass du die Zertifikatskette einspielen musst. Die Kette bekommst du als Download von der Zertifizierungsstelle bei der du registriert hast. Wenn sie nicht da ist, bekommst du Zertifikatsfehler im Browser.
lutz Bremen
RE: Liferay + SSL? How to?
December 21, 2012 1:56 AM
Answer

lutz Bremen

Rank: Expert

Posts: 296

Join Date: October 20, 2011

Recent Posts

also anscheinend habe ich das Zertifikat drin. jetzt habe ich i nder Server.xml das hier eingetragen.

1<Connector enableLookups="false" port="443" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keyAlias="tomcat" keystoreFile="C:/liferay/liferay-portal-6.1.1-ce-ga2/tomcat-7.0.27/jre1.6.0_20/win/bin/kaeferlive.de.key" keypass="tomcat" />


jetzt bekomme ich im browser folgenden Fehler

1An error occurred during a connection to 176.28.41.61.
2
3SSL received a record that exceeded the maximum permissible length.
4
5(Error code: ssl_error_rx_record_too_long)


wie kreig ich das zum laufen?
Christoph Rabel
RE: Liferay + SSL? How to?
January 2, 2013 1:54 AM
Answer

Christoph Rabel

Rank: Regular Member

Posts: 150

Join Date: September 24, 2009

Recent Posts

Was sagt denn openssl wenn du versuchst dich mit dem Port zu verbinden?
openssl s_client -connect 176.28.41.61:443

Ausgabe?

Probier eventuell auch ein telnet:
---
telnet 176.28.41.61:443 <Enter>
GET / HTTP/1.0<Enter>
<Enter>
---

Wenn da was zurückkommt, hast du kein SSL dann lauscht der Port nur http.
In dem Fall passt irgendetwas mit dem Keystore nicht.
Adel Frad
RE: Liferay + SSL? How to?
January 15, 2013 1:25 PM
Answer

Adel Frad

Rank: New Member

Posts: 23

Join Date: August 4, 2012

Recent Posts

lutz Bremen:
Ok um das nochmal etwas zu spezifizieren.

wie haben ein laufendes Liferay auf einem host-europe virtual server. wir haben ein SSL-zertifikat gekauft und wollen nun, dass der server sowohl unter http als auch unter https erreichbar ist. im plesk vom server hat mein chef das schon eingebunden.

wie genau gehe ich nun vor?


In host-europe virtual server bekommt man i. d. R. Plesk dazu installiert. Wenn es der Fall ist, dann dürfte es kein Problem sein. Tomcat braucht man gar nicht mit SSL zu sichern. Tomcat port (8080 gehe ich davon aus) muss für externer Zugriff geschlossen werden und nur Lokal für den Apache zugelassen werden (Firewall Regel in Plesk ). Apache mit der gekauften Zertifikat sichern (Kann man auch Plesk tun). Das wars!
Man braucht in der Regel 30 mn für das Ganze. Ich werde es versuchen Zeit zu finden um einen ausführlichen Blog oder Wiki darüber zu schreiben.
Im vhost_ssl.conf (im config Ordner des Domains) sollte man reverse proxy configurieren.
Ein Beipiel:

SSLProxyEngine on
ProxyPreserveHost Off
ProxyRequests Off

AllowEncodedSlashes On
KeepAlive Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://<domain>:<tomcat port>/
ProxyPassReverse / http://<domain>:<tomcat port>/


Grüße