FAQs - Suporte técnico

DS - THF - Configuração de HTTPS para o Datasul for THF utilizando o serviço Tomcat do produto

time.png Tempo aproximado para leitura: 00:08:45 min

Dúvida
Como posso configurar um certificado SSL diretamente no serviço Tomcat do Datasul for THF?

Ambiente
Datasul – Tomcat – Todas as versões

Solução
O objetivo deste conteúdo é dar uma breve orientação sobre o procedimento de utilização de um conector seguro no Tomcat, para acesso por HTTPS.

Neste processo, você precisará de um certificado SSL para ao endereço que será utilizado na URL de acesso ao produto. Este certificado pode ser obtido com uma autoridade certificadora ou criar um auto assinado.

Segundo documentação existente do Tomcat, o módulo padrão utilizado no conector aceita os seguintes formatos de armazenamento de chaves: JKS, PKCS11 e PKCS12.

A autoridade pode entregar os certificados em formato de armazenamento diferente, sendo necessário criar o arquivo em um dos formatos suportados. O arquivo que será utilizado no Tomcat deve conter o certificado raiz, intermediários quando houver, o certificado adquirido e chave privada.

Não abordaremos neste artigo todos os comandos e parâmetros existentes para realizar esta mudança de formato, requisições de certificados ou mesmo criar auto assinados, bem como configurações das ferramentas utilizadas. As principais ferramentas para estas atividades são o OpenSSL e Keytool, caso necessário verifique suas documentações.

Para este exemplo, vamos utilizar os arquivos recebidos de uma autoridade certificadora. Foram disponibilizados os arquivos ca_bundle.crt e certificate.crt. Nestes estão contidos o certificado para o endereço que utilizaremos no acesso, bem como os certificados raiz e intermediário. Também vamos utilizar o arquivo private.key, que contém a chave privada e foi criado no momento de gerar a requisição - CSR - para a autoridade certificadora.

Neste caso, vamos utilizar o OpenSSL para armazenar os arquivos acima citados em um arquivo com formato PKCS12. Abaixo comando para esta etapa:
openssl pkcs12 -export -in certificate.crt -inkey private.key -CAfile ca_bundle.crt -caname root -out meusite.p12 -name meusite

Neste momento será solicitada a criação de uma senha para o arquivo meusite.p12. Com o arquivo meusite.p12 criado, vamos realizar a configuração no Tomcat.

Abaixo do diretório principal do Tomcat, crie uma pasta para copiar o arquivo criado anteriormente, como sugestão utilizaremos uma pasta com nome cert.

Localize na pasta do Tomcat, subdiretório conf, o arquivo server.xml.

Com um editor de textos, abra o arquivo e localize o conector HTTP utilizado atualmente. Para facilitar, procure pela porta utilizada no acesso ao produto, no exemplo 8080:

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443"/>

Abaixo deste, vamos criar um novo conector que irá responder pelas requisições HTTPS. No arquivo server.xml existem alguns exemplos, porém pode ser inserido um novo conforme modelo abaixo:

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" clientAuth="false" scheme="https" secure="true" sslProtocol="TLS"
port="8443" enableLookups="false" maxThreads="500"
keystoreFile="${catalina.base}/cert/meusite.p12"
keystorePass="senhadoarquivopkcs12"
keystoreType="PKCS12" />

Ajuste os parâmetros conforme necessidade. Os principais neste caso são:
port= porta utilizada pelo conector, esta porta será a utilizada no acesso pelo navegador;
keystoreFile= caminho para o arquivo de chaves e certificados;
keystorePass= senha do arquivo keystoreFile;
keystoreType= tipo de armazenamento utilizado no arquivo. Caso utilize um arquivo .jks, mude para JKS

Após realizar esta configuração, reinicie o serviço do Tomcat.

Pelo modelo acima, o acesso ao produto no contexto HTTPS será feito no caminho https://servidor:8443/totvs-menu. Lembrando que o endereço do servidor utilizado na URL deve ser o mesmo utilizado no certificado SSL.

Caso adquira um certificado para um endereço externo, como por exemplo meusite.com.br, configure seu DNS interno para este nome responder pelo endereço do servidor do Tomcat, assim será possível utilizar o acesso HTTPS por qualquer equipamento dentro de sua rede. Para o acesso externo utilize no DNS o seu IP de internet.

Quando utilizado um certificado auto assinado, como não foi emitido por uma autoridade certificadora reconhecida, o navegador poderá emitir mensagens de alerta indicando que o certificado não foi validado.

Saiba mais
Se deseja publicar o acesso para a internet, antes recomendamos a leitura dos artigos abaixo:
DS - THF - Recomendação de segurança para as aplicações padrão do Tomcat
DS - THF - Recomendação de segurança para desabilitar o Connector AJP no Tomcat
DS - THF - Recomendação de segurança para a porta do SHUTDOWN do Tomcat

Glossário
CSR
- Certificate Signing Request
DNS - Domain Name System
HTTP - Hypertext Transfer Protocol
HTTPS - Hyper Text Transfer Protocol Secure
IP - Internet Protocol
JKS - Java Keystore
PKCS - Public-Key Cryptography Standards
SSL - Secure Sockets Layer
THF - TOTVS HTML Framework
URL - Uniform Resource Locator

Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0

0 Comentários

Por favor, entre para comentar.
X Fechar

Olá ,

Há pendência referente a um de seus produtos contratados para a empresa ().

Entre em contato com o Centro de Serviços TOTVS para tratativa.

Ligue! 4003-0015 opção 4 e 9 ou registre uma solicitação para CST – Cobrança – Verificação de pendências financeiras . clique aqui.

TOTVS

X Fechar

Olá ,

Seu contato não está cadastrado no Portal do Cliente como um perfil autorizado a solicitar consultoria telefônica.

Por gentileza, acione o administrador do Portal de sua empresa para: (1)configurar o seu acesso ou (2)buscar um perfil autorizado para registro desse atendimento.

Em caso de dúvidas sobre a identificação do contato administrador do Portal, ligue (11) 4003-0015, opção 7 e, em seguida, opção 4 para buscar o suporte com o time de Assessoria ao Portal do Cliente. . clique aqui.

TOTVS

X Fechar

Olá ,

Para o atendimento de "Consultoria Telefônica" você deverá estar de acordo com o Faturamento.

TOTVS

X Fechar

Olá,

Algo inesperado ocorreu, e o usuario nao foi reconhecido ou você nao se encontra logado

Por favor realize um novo login

Em caso de dúvidas, entre em contato com o administrador do Portal de Clientes de sua empresa para verificação do seu usuário, ou Centro de Serviços TOTVS.

Ligue! 4003-0015 opção 4 e 9 ou registre uma solicitação para CST – Cadastros . clique aqui.

TOTVS

Chat _

Preencha os campos abaixo para iniciar o atendimento:

Chat _