HTTPS unter Tomcat 6 erzwingen
Dienstag, 5. August 2008 by Mike Markgraf
Sicherheit in Web-Anwendung ist bei sensiblen Daten zwingend erforderlich. Im Deployment-Descriptor (web.xml) ist das ohne weiteres möglich. Möchte man für seine Web-Anwendung zusätzliche Sicherheit erzwingen, dann kann man das mit folgenden Einträgen bewirken. Die Einstellungen müssen wie gesagt in der web.xml vorgenommen werden.
<security-constraint>
<display-name>Security constraint</display-name>
<web-resource-collection>
<web-resource-name> TestWebApp</web-resource-name>
<url-pattern>/ TestWebApp/*</url-pattern>
<http-method>DELETE</http-method>
<http-method>GET</http-method>
<http-method>POST</http-method>
<http-method>PUT</http-method>
</web-resource-collection>
<!-- SSL erzwingen -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
Hat man ein Zertifikat für den CN=localhost ausgestellt und im Browser vorher importiert, dann bekommt man keinen Hinweis vom Browser, dass ein SSL-Handshake durchführt wird. Wenn alle Schritte erfolgreich verlaufen sind, dann ist der Tomcat unter der URI https://localhost:443/TestWebApp/TestWebApp erreichbar.
<display-name>Security constraint</display-name>
<web-resource-collection>
<web-resource-name>
<url-pattern>/
<http-method>DELETE</http-method>
<http-method>GET</http-method>
<http-method>POST</http-method>
<http-method>PUT</http-method>
</web-resource-collection>
<!-- SSL erzwingen -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
Hat man ein Zertifikat für den CN=localhost ausgestellt und im Browser vorher importiert, dann bekommt man keinen Hinweis vom Browser, dass ein SSL-Handshake durchführt wird. Wenn alle Schritte erfolgreich verlaufen sind, dann ist der Tomcat unter der URI https://localhost:443/TestWebApp/TestWebApp erreichbar.
