Apache & Tomcat & mod_jk Redirection SSL sur certaines pages uniquement

Nous avons un seul server Windows exécutant Apache et Tomcat avec mod_jk activé. L'application Tomcat fonctionne parfaitement, tout comme l'application PHP séparée (sous Apache). Nous avons installé un cert SSL commercial sous Apache et créé une directive dans le file httpd-ssl.conf. Tout cela fonctionne bien.

Si nous naviguons directement sur https://www.domain.com/app/foo/bar, cela fonctionne bien, alors nous soaps que le certificate fonctionne. Notre problème est que nous voulons que certaines pages (pages JSP spécifiquement) se chargent sous https. Nous avons essayé de mettre les files .htaccess dans les dossiers appropriés (où nous pensons que les servlets vivent) et cela ne fait rien, sans doute parce que Tomcat ne sert pas les pages, Apache est (est-ce la bonne façon de penser?). Nous sums donc confus quant à savoir où nous sums censés configurer les règles (?) Pour forcer https pour certaines pages JSP et pas pour d'autres. Supposons que Apache devrait gérer ce problème, mais comme le file .htaccess ne fonctionne pas, quelle autre option existe-t-il?

One Solution collect form web for “Apache & Tomcat & mod_jk Redirection SSL sur certaines pages uniquement”

Je me request si apache / mod_jk sont configurés de sorte que les requêtes correspondant à *.jsp ou /webappdir/*.jsp soient transmises à Tomcat avant que vos modifications .htaccess aient la possibilité de publier cette redirection vers https.

Je pense que vous allez vouloir append des contraintes de security dans votre tomcat web.xml afin que vos requests correspondant à url-pattern /webappdir/*.jsp soient configurées pour utiliser une garantie de transport CONFIDENTIEL. (Au less, c'est ce que les spécifications de servlet et jsp semblent supposer que vous allez vouloir) Je n'ai pas de système pour jouer maintenant, mais peut-être quelque chose dans les lignes suivantes dans votre web.xml peut travail:

 // Sample Security Constraint <security-constraint> <web-resource-collection> <web-resource-name>require ssl</web-resource-name> <url-pattern>/webappdir/*.jsp</url-pattern> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </web-resource-collection> </security-constraint> 

Mise en garde: je ne suis pas sûr de 100% sur l'url-pattern, il faudra probablement expérimenter un peu ici. Si vous ne voulez pas ssl chiffrer toutes vos jsp, vous pourriez vous refind avec une list beaucoup plus longue d'inputs de model url. De plus, je ne me souviens pas si Tomcat émet une redirection 301 suggérant que le browser re-suit le lien en utilisant https ou si Tomcat émet un autre code d'état.

Bien sûr, ssl n'ajoute pas trop de frais généraux, de sorte que vous pourriez simplement chiffrer tout le site. Cela rendrait probablement plus heureux vos visiteurs plus conscients de la security.

  • Comment faire pour get des informations de debugging de log de Tomcat 7?
  • Répondre à toutes les requêtes avec une page de maintenance sans redémarrer le server HTTP Apache
  • Configuration de jdbc-pool (tomcat 7)
  • Comment append un lien symbolique comme webapp aux webapps dans Tomcat 7 sous Linux?
  • Tomcat échoue lors de la première requête en combinaison avec jsvc
  • OpenCMS lance une exception Java sur TomCat Start
  • Plusieurs services Tomcat sur le port 80
  • Tomcat & Java n'écoute pas sur IPv6
  • Serveur Tomcat derrière le proxy inverse nginx - comment bloquer l'accès direct au serveur?
  • Désactivé SSLv3 dans Tomcat, mais toujours affichage de la vulnérabilité POODLE
  • Authentification de base pour une application Tomcat (JIRA) avec Nginx en proxy inverse
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.