Q&A
ローカルからhttpsで接続して、状況を確認してみてはいかがでしょう。
https://qiita.com/greymd/items/68b0c40044a88171235a
前提・実現したいこと
JSP/Servletで作成した動的Webアプリケーションをhttpsに対応させようとTomcatの設定を行っておりますが、「https://[ホスト名]:8443」でTomcatのデフォルトページが表示されない状況です。
(★12/31追記)
Tomcatのデフォルトページ「https://[ホスト名]:8443」は表示できるようになったのですが、動的Webアプリのページ「https://[ホスト名]:8443/[AppName]/」だと表示されない状況です。
<Tomcatのデフォルトページはhttps接続できた>
<アプリのURLだと引き続きNG>
<httpではWebアプリも表示できる>
発生している問題・エラーメッセージ
後述の設定を行って「https://[ホスト名]:8443/[AppName]」で疎通を行うと、ブラウザ上に次のメッセージが表示されている状況です。
(新エラーメッセージ)
このサイトにアクセスできません[ホスト名] からの応答時間が長すぎます。 次をお試しください 接続を確認する プロキシとファイアウォールを確認する Windows ネットワーク診断ツールを実行する ERR_TIMED_OUT
設定手順&該当のソースコード
①証明書の生成(★12/31追記)
「-keyalg RSA」を追記
keytool -genkey -alias tomcat -keyalg RSA -keypass [パスワード] -keystore mycertificate.cer -storepass [パスワード]
②server.xmlの編集
Java
1<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 2 scheme="https" 3 secure="true" 4 clientAuth="false" 5 sslProtocol="TLS" 6 sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" 7 keystoreFile="conf/mycertificate.cer" keystorePass="[password]" />
③ポート開放(8443)(★12/31追記)
iptablesに以下のレコードを追加
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
④server.xmlの編集 (12/31追記)
<security-constraint> <web-resource-collection> <web-resource-name>HTTPSOnly</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>
⑤Tomcatの再起動
cd $CATALINA_HOME/bin/startup.sh
試したこと
■Firewallのポート開放を行いましたが、結果は変わらずでした。
vi etc/sysconfig/iptables
iptablesに以下のレコードを追加。
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
(12/31追記)
■証明書の作り直し
keytoolコマンドのオプションに「-keyalg RSA」を付与したら、Tomcatのデフォルトページは表示されるようになりました(動的WebアプリのURLは依然としてNG)。
(12/31追記)
■crulコマンドでのエラー調査
crulで見ると以下のエラーが出ているのですが、ググっても有効が対処が見つけられず苦戦しています・・
$ curl -v --tlsv1.1 https://[hostname]:8443/[appname] * About to connect() to [hostname] port 8443 (#0) * Trying [IP address]... connected * Connected to [hostname] ([IP address]) port 8443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * NSS error -5990 * Closing connection #0 * SSL connect error curl: (35) SSL connect error
補足情報(FW/ツールのバージョンなど)
OS:CentOS 6.10
Tomcat : 8.5
コメント頂きありがとうございます。
firefoxをインストールして試したところ、ローカルでもタイムアウトエラーになりました。まずはローカルから繋がるように、継続して取り組んでみようと思います。
参考URLにあるように、curlを使って、できるだけゆるい条件で、できるだけ情報を得られるようなオプションを、お試しください。
接続ができない原因に関する、より多くの情報が取得できると思います。
また、証明書の発行は、どのような方法だったのかも、追記していただけると、回答が得られる可能性が上がるかと思います。
YT0014さん
度々ありがとうございます。crul試して見たらエラーが出て調べていたのですが、情報が少なく有効な対処法が見つけられませんでした・・(エラーメッセージは「試したこと」に追記しました)。
また良く分かっておらず恐縮ですが「証明書の発行」は「keytool -genkey ~」のコマンドの事と認識していましたが、何か別のものを意図されていましたでしょうか?
お手数ですが、ご教示頂けたらと思います。
SSL証明書は、本来、公認されている認証局により発行されるものです。
HTTPSのテストなどの用途の場合、この発行を自分自身で行うこともありますが、これは、自己証明書やオレオレ証明書などと呼ばれ、形式がまもられていても、証明にはならないものとみなされます。
Tomcatのツールで作成されるものは、後者の証明書になります。
詳細に関しては、ご自分でお調べください。
YT0014さん
ありがとうございます、理解できました。詳細は自分で調べます。
私の理解では「自己証明書」は証明書としては認められなくても、httpsのURLでページ自体は表示可能という理解です。例えば、次の動画では最後に自身のWebアプリにhttpsから接続しています。
https://www.youtube.com/watch?v=MFYgCHC8t0o
(何かを改善すれば、一旦疎通する事は出来ますよね?という意味の質問です)
TomcatのTopページが表示されているので、httpsより、jspの表示が終わらない状態になっている可能性のほうが高そうです。
httpでは、きちんと表示されていたのでしょうか?
早速ありがとうございます。
すみません、書いておけば良かったですが、httpでは正常に表示されます。
(冒頭に画面キャプチャを追加しました)
あなたの回答
tips
プレビュー
