質問編集履歴

httpでは接続できるエビデンスを追加

2020/12/31 10:41

投稿

MeguroHarumi

スコア14

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -4,11 +4,14 @@
 Tomcatのデフォルトページ「https://[ホスト名]:8443」は表示できるようになったのですが、動的Webアプリのページ「https://[ホスト名]:8443/[AppName]/」だと表示されない状況です。
 ＜Tomcatのデフォルトページはhttps接続できた＞
-![![Tomcatのデフォルトページはhttps接続できた](59d3253fd1b5833b0b1457f4915cd8af.jpeg)](e8858568bddc7bdaa7d8f2d29632827a.jpeg)
+![Tomcatのデフォルトページはhttps接続できた](59d3253fd1b5833b0b1457f4915cd8af.jpeg)
 ＜アプリのURLだと引き続きNG＞
 ![イメージ説明](3840f48c1ced46406fdfe7a6bf0abf64.jpeg)
+＜httpではWebアプリも表示できる＞
+![イメージ説明](e02e924075951e20f64807ddab81dd6f.jpeg)
 ### 発生している問題・エラーメッセージ
 後述の設定を行って「https://[ホスト名]:8443/[AppName]」で疎通を行うと、ブラウザ上に次のメッセージが表示されている状況です。

コメントで頂いた対応の実施＆結果更新、自身で調査対応した情報の更新

2020/12/31 10:41

投稿

MeguroHarumi

スコア14

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -1,48 +1,96 @@
 ### 前提・実現したいこと
-JSP/Servletで作成した動的Webアプリケーションをhttpsに対応させようとTomcatの設定を行っておりますが、「https://[ホスト名]:8443」でTomcatのデフォルトページが表示されない状況です。
+JSP/Servletで作成した動的Webアプリケーションをhttpsに対応させようとTomcatの設定を行っておりますが、~~「https://[ホスト名]:8443」でTomcatのデフォルトページが表示されない状況です。~~
+(★12/31追記)
+Tomcatのデフォルトページ「https://[ホスト名]:8443」は表示できるようになったのですが、動的Webアプリのページ「https://[ホスト名]:8443/[AppName]/」だと表示されない状況です。
+＜Tomcatのデフォルトページはhttps接続できた＞
+![![Tomcatのデフォルトページはhttps接続できた](59d3253fd1b5833b0b1457f4915cd8af.jpeg)](e8858568bddc7bdaa7d8f2d29632827a.jpeg)
+＜アプリのURLだと引き続きNG＞
+![イメージ説明](3840f48c1ced46406fdfe7a6bf0abf64.jpeg)
 ### 発生している問題・エラーメッセージ
-後述の設定を行って「https://[ホスト名]:8443」で疎通を行うと、ブラウザ上に次のメッセージが表示されている状況です。
+後述の設定を行って「https://[ホスト名]:8443/[AppName]」で疎通を行うと、ブラウザ上に次のメッセージが表示されている状況です。
+（新エラーメッセージ）
 ```
-[URL]への接続中にエラーが発生しました。Cannot communicate securely with peer: no common encryption algorithm(s).
-エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP
-    受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
+このサイトにアクセスできません[ホスト名] からの応答時間が長すぎます。
+次をお試しください
+接続を確認する
+プロキシとファイアウォールを確認する
-    この問題をウェブサイトの管理者に連絡してください。
+Windows ネットワーク診断ツールを実行する
+ERR_TIMED_OUT
 ```
-![イメージ説明](3d5d75a3f580d87c6933451980a47dc3.jpeg)
 ### 設定手順＆該当のソースコード
-①証明書の生成
+①証明書の生成(★12/31追記)
+「-keyalg RSA」を追記
 ```
-keytool -genkey -alias tomcat -keypass [パスワード] -keystore mycertificate.cer -storepass [パスワード]
+keytool -genkey -alias tomcat -keyalg RSA -keypass [パスワード] -keystore mycertificate.cer -storepass [パスワード]
 ```
 ②server.xmlの編集
 ```Java
-    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
+<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
-               scheme="https" secure="true"
+           scheme="https"
+           secure="true"
-               clientAuth="false" sslProtocol="TLS"
+           clientAuth="false"
+           sslProtocol="TLS"
+           sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
-               keystoreFile="conf/mycertificate.cer" keystorePass="[password]" />
+           keystoreFile="conf/mycertificate.cer" keystorePass="[password]" />
 ```
+③ポート開放（8443）(★12/31追記)
-③Tomcatの再起動
+iptablesに以下のレコードを追加
 ```
+-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
+```
+④server.xmlの編集　(12/31追記)
+```
+<security-constraint>
+<web-resource-collection>
+    <web-resource-name>HTTPSOnly</web-resource-name>
+    <url-pattern>/*</url-pattern>
+</web-resource-collection>
+<user-data-constraint>
+    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
+</user-data-constraint>
+```
+⑤Tomcatの再起動
+```
 cd $CATALINA_HOME/bin/startup.sh
 ```
 ### 試したこと
-Firewallのポート開放を行いましたが、結果は変わらずでした。
+■Firewallのポート開放を行いましたが、結果は変わらずでした。
 ```
 vi etc/sysconfig/iptables
 ```
 iptablesに以下のレコードを追加。
 ```
 -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
 ```
+(12/31追記)
+■証明書の作り直し
+keytoolコマンドのオプションに「-keyalg RSA」を付与したら、Tomcatのデフォルトページは表示されるようになりました（動的WebアプリのURLは依然としてNG）。
+(12/31追記)
+■crulコマンドでのエラー調査
+crulで見ると以下のエラーが出ているのですが、ググっても有効が対処が見つけられず苦戦しています・・
+```
+$ curl -v --tlsv1.1 https://[hostname]:8443/[appname]
+* About to connect() to [hostname] port 8443 (#0)
+*   Trying [IP address]... connected
+* Connected to [hostname] ([IP address]) port 8443 (#0)
+* Initializing NSS with certpath: sql:/etc/pki/nssdb
+*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
+  CApath: none
+* NSS error -5990
+* Closing connection #0
+* SSL connect error
+curl: (35) SSL connect error
+```
 ### 補足情報（FW/ツールのバージョンなど）
 OS：CentOS 6.10

誤挿入した画像を削除

2020/12/31 09:59

投稿

MeguroHarumi

スコア14

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -1,4 +1,4 @@
-![イメージ説明](9e5f79d6bec35e97e2e8312c6005c755.jpeg)### 前提・実現したいこと
+### 前提・実現したいこと
 JSP/Servletで作成した動的Webアプリケーションをhttpsに対応させようとTomcatの設定を行っておりますが、「https://[ホスト名]:8443」でTomcatのデフォルトページが表示されない状況です。
 ### 発生している問題・エラーメッセージ

server.xmlの内容を少し変更した所、エラーメッセージが変化したため、内容を更新致します。

2020/12/30 10:28

投稿

MeguroHarumi

スコア14

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -1,18 +1,16 @@
-### 前提・実現したいこと
+![イメージ説明](9e5f79d6bec35e97e2e8312c6005c755.jpeg)### 前提・実現したいこと
 JSP/Servletで作成した動的Webアプリケーションをhttpsに対応させようとTomcatの設定を行っておりますが、「https://[ホスト名]:8443」でTomcatのデフォルトページが表示されない状況です。
 ### 発生している問題・エラーメッセージ
 後述の設定を行って「https://[ホスト名]:8443」で疎通を行うと、ブラウザ上に次のメッセージが表示されている状況です。
 ```
+[URL]への接続中にエラーが発生しました。Cannot communicate securely with peer: no common encryption algorithm(s).
+エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP
+    受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
-このサイトにアクセスできません
+    この問題をウェブサイトの管理者に連絡してください。
-[ホスト名]からの応答時間が長すぎます。
-次をお試しください
-・接続を確認する
-・プロキシとファイアウォールを確認する
-・Windowsネットワーク診断ツールを実行する
 ```
+![イメージ説明](3d5d75a3f580d87c6933451980a47dc3.jpeg)
 ### 設定手順＆該当のソースコード
 ①証明書の生成
@@ -22,13 +20,10 @@
 ```
 ②server.xmlの編集
 ```Java
-    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
+    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
-            connectionTimeout="20000"  maxThreads="150" SSLEnabled="true">
-        <SSLHostConfig>
-            <Certificate certificateKeystoreFile="conf/mycertificate.cer"
-                         type="RSA" />
+               scheme="https" secure="true"
-        </SSLHostConfig>
+               clientAuth="false" sslProtocol="TLS"
-    </Connector>
+               keystoreFile="conf/mycertificate.cer" keystorePass="[password]" />
 ```
 ③Tomcatの再起動
 ```