Get Adobe Flash player

Nastavení HTTPS

Nastavení HTTPS

Nastavení HTTPS

Pro nastavení https je v prvé řadě třeba certifikát. Ten lze získat od některé z certifikačních autorit (např. verisign apod.).

Po získání certifikátu je třeba jej nastavit a máme zde dvě možnosti. Pokud je portaro provozováno za http serverem (apache, nginx, IIS), certifikát je třeba nastavit na něm a zbytek komunikace probíhá přes http. Pokud je portaro provozováno samostatně, postup je následující:

Nastavení certifikátu do tomcata

K nastavení je třeba následující:

  • Certifikát (veřejný klíč) - soubor, který musí být ve formátu pem (Base64), např. certifikat.cer
  • Privátní klíč - soubor obsahující privátní klíč, např. key.pem
  • Heslo k privátnímu klíči - heslo, kterým je zašifrován privátní klíč kvůli vyššímu zabezpečení.
  • Intermediate (mezilehlý) certifikát - certifikát certifikační autority, která váš certifikát vydala. Bývá běžně ke stažení na stránkách autority.

Toto je třeba nastavit do souboru /apache-tomcat-xxx/conf/server.xml:

<Connector protocol="org.apache.coyote.http11.Http11AprProtocol" 
port="443"
maxThreads="200"
scheme="https"
secure="true"
SSLEnabled="true"
SSLProtocol="TLSv1"
URIEncoding="UTF-8"
SSLCertificateFile="C:/portaro/certifikat.cer"
SSLCertificateKeyFile="C:/portaro/key.pem"
SSLCACertificateFile="C:/portaro/TERENASSLCA3.crt"
SSLPassword="heslokprivatnimuklici"
compression="on"
compressionMinSize="2048"
SSLCipherSuite="RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,text/plain,text/css,application/javascript,application/json,application/x-javascript" />

Po restartu by mělo být možné se připojit na adresu https://adresa.knihovny. Jestliže se tak nestane, je možné, že na serveru (v případě linuxového) není nainstalovaná tzv. APR knihovna. Tu je buďto možné přes standardní baličkovací systém nainstalovat, nebo APR nepoužívat, což se nastaví změnou konektoru (viz níže), nicméně je v takovém případě změnit formát certifikátu na pks12 pomocí openssl:

openssl pkcs12 -export -in certifikat.cer -inkey klic.key -out certifikat.p12 -name tomcat -caname root
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="443"
maxThreads="200"
scheme="https"
secure="true"
SSLEnabled="true"
keystoreFile="/etc/ssl/tomcat/certifikat.p12"
keystoreType="PKCS12"
keystorePass="heslokprivatnimuklici"
clientAuth="false"
sslProtocol="TLS"
compression="on"
compressionMinSize="2048"
SSLCipherSuite="RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,text/plain,text/css,application/javascript,application/json,application/x-javascript" />

Nastavení, aby Portaro běželo přes HTTPS

Jestliže jsou certifikáty nastaveny, je třeba "říci" Portaru, aby běželo na https. V nastavení OPAC.URL je třeba změnit "http://" v adrese katalogu na "https://".

Dále je třeba nastavit automatické přesměrování z režimu http na https, aby se již nedalo Portaro prohlížet nezabezpečeně. Pokud katalog neběží přes proxy server (apache, nginx apod. - v takovém případě se to nastavuje na něm), stačí nastavit ini OPAC.ForceHttps na "ANO". Pak bude Portaro hlídat přístup přes http a automaticky přesměrovat na http.