WWW

9 月 2 2022

幫 Apache Tomcat 7/9 上 HTTPS

近日敝單位踩到 HSTS 的地雷,於是就著手解決問題…

先說地雷的引爆點: 新上線 example.com 這網站給了 “strict-transport-security: max-age=31536000; includeSubDomains” 這組 HTTP header,使得原本透過 Apache Tomcat 提供服務的 http://system.example.com.tw:8080/ 網頁瀏覽異常;因瀏覽器參照 HSTS 後,只把 “http://” 改為 “https://” ,瀏覽器不知道應該同步修改連接埠號(port 8080)。

因為這幾台伺服器的網頁服務僅使用 Apache Tomcat,沒有 Apache HTTPDnginx 等其他軟體佔用 port 80 與 443,用 iptables 作 port redirection 就可以擺平,調整的方式會比較簡單。

需要作的事的大概就這些:

  • 取得 SSL certificates,並確認 renew 的時候可重新啟動 Apache Tomcat
  • 安裝 Tomcat Native
  • 調整 Tomcat 的 server.xml
  • 調整 iptables rules

Apache Tomcat 7 的 server.xml 用這段(某些參數視狀況調整):

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="200" SSLEnabled="true"
           SSLCertificateFile="/etc/letsencrypt/live/example.com/cert.pem"
           SSLCertificateKeyFile="/etc/letsencrypt/live/example.com/privkey.pem"
           SSLCACertificateFile="/etc/letsencrypt/live/example.com/chain.pem" />

Apache Tomcat 9 的 server.xml 用這段(某些參數視狀況調整),支援 HTTP/2:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="200" SSLEnabled="true" >
  <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
  <SSLHostConfig>
    <Certificate certificateKeyFile="/etc/letsencrypt/live/example.com/privkey.pem"
                 certificateFile="/etc/letsencrypt/live/example.com/cert.pem"
                 certificateChainFile="/etc/letsencrypt/live/example.com/chain.pem"
                 type="RSA" />
  </SSLHostConfig>
</Connector>

iptables rules 增加以下這兩條:

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

By 0 • Tags: , , , ,

11 月 15 2020

用 certbot 取用 Let’s Encrypt 的 certificates

我原本使用 dehydrated,前陣子開始改用 certbot
對我這懶人來說,certbot 有 rpm & dpkg,也都有 yum 跟 apt 的 repositories 可用,這點挺重要… XD

單機(純 hostname)的 certificate 搭配 nginx 用這行指令就可以完成:

certbot certonly --nginx -d {hostname}

取用 wildcard certificate 的話可以先看看 certbot 的 DNS Plugins 文件。
我自己的網域 DNS server 是自己掌管的,搭配的是 certbot-dns-rfc2136
編輯完設定檔(eg. /etc/letsencrypt/rfc2136.ini)之後也是一行指令完成:

certbot certonly \
	--dns-rfc2136 \
	--dns-rfc2136-credentials /etc/letsencrypt/rfc2136.ini \
	-d *.{DOMAIN} -d {DOMAIN}

另外,在 Ubuntu 安裝的 certbot 已經使用 systemd 的 timers 觸發定時更新,用下面這行指令可以確認其狀況。

systemctl status certbot.timer

By 1 • Tags: , , ,

5 月 26 2019

HTTP 壓縮的 workaround : ProgressEvent & Cache-Control

這幾個月前後經手處理兩個 HTTP 壓縮相關的問題,寫個紀錄…

第一個問題跟 ProgressEvent 有關。
敝單位有個 PWA ( Progressive Web Application ),幾個月前釋出一個新模組,讓 user 可獲取公司內部發佈的公告訊息。考量到訊息內容長度與行動裝置所在網路環境,我們便試著在訊息載入時加上進度條 (Progress Bar)。
實作期間,我們發現只能取得 ProgressEvent.loaded,抓不出 ProgressEvent.total,而且這個現象僅發生在 server response,瀏覽器發出請求/上傳檔案無此狀況。
確認這現象跟 HTTP 壓縮有關後,我們也發現 ProgressEvent.loaded 的值是未壓縮前的大小。
目前我們採用的解法是在讀取內容前先發個 HTTP request 取得內容長度,用該值取代 ProgressEvent.total

第二個問題被發現時,我們正在調整 Cache-Control 設定;而且這問題只跟 Apache HTTPD 有關。
我們讓 HTTP server 壓縮 .js , .css , .htm 這類固定文字檔,也加上這串 HTTP header :

Cache-Control: public, max-age=86400, no-cache

但我們發現瀏覽器在 nginx 可正確獲得 304 Not Modified,但遇上 Apache HTTPD 永遠都是 200 OK
花一堆時間測試/追蹤後發現兇手是 mod_deflate;原因是檔案被壓縮處理後,傳給瀏覽器的 HTTP ETag 後面被加上 “-gzip” 這串後綴。
目前的解法是參考這篇,用下面這段設定處理 .js , .css , .htm 這類固定文字檔的 Cache-Control

RequestHeader edit "If-None-Match" "^\"(.*)-gzip\"$" "\"$1\""
Header edit "ETag" "^\"(.*[^g][^z][^i][^p])\"$" "\"$1-gzip\""

Apache HTTPD 2.5 版的 mod_deflate 應該會多個 DeflateAlterETag 供作調整;等吧… XD

By 0 • Tags: , , , ,

3 月 16 2018

開始用 Let’s Encrypt 的 wildcard certificate

2016 年自己寫過 改用 Let’s Encrypt 的 certificates,文內提到的 dehydrated 也持續在使用。

這幾天看到 Let’s Encrypt 貼出 ACME v2 and Wildcard Certificate Support is Live

Let’s Encrypt 的 wildcard certificate 實作大概要注意以下幾點:

  • 要用 ACME v2 compatible client(官方有提供列表: ACME Client Implementations
  • 不能用 HTTP challenge,改用 DNS challenge

使用 dehydrated 進行 DNS challenge 可以參考這幾份文件:

我選擇用 nsupdate 的方式(參考 dehydrated Wiki : example dns 01 nsupdate script),在 DNS master server 建立 _acme-challenge.{DOMAIN} 的 NS record,讓 hook script 透過 nsupdate 連線到指定的 name server 更新 TXT record 。

DNS 方面完成後,要記得佈署 hook script 與 nsupdate 使用的 key。
接著是調整語法,原本的語法:

/SOMEWHERE/dehydrated/dehydrated -c -d {網站hostname}

改為:

/SOMEWHERE/dehydrated/dehydrated \
    -c -d *.{DOMAIN} \
    -t dns-01 -k {HOOK_SCRIPT} \
    --alias wildcard.{DOMAIN}

( –alias 指定的 wildcard.{DOMAIN} 會成為目錄名稱,用來存放憑證 )

By 0 • Tags: , , , , , ,

2 月 22 2016

改用 Let’s Encrypt 的 certificates

之前都在用 StartSSL 的免費 certificate,雖知道有 Let’s Encrypt,但因手邊幾乎都轉用 nginx,遲遲沒下手。

約莫一週前 zeroplex 丟了這個網頁:「Why I stopped using StartSSL (Hint: it involves a Chinese company)」,三、四天前 DK 大神也撰文提及,就決定趁週末沒什麼事來動工…

用 DK 大神在一個月前撰文提過的 dehydrated 這個 GitHub 專案可以輕鬆搞定,步驟大致如下…

  1. 找個自己喜歡的目錄(不是 /tmp …),把 dehydrated clone 出來
  2. 在 clone 出來的目錄之下建立 .acme-challenges 目錄
    mkdir dehydrated/.acme-challenges
  3. 在原本的 HTTP (80 port) 設定下建立 alias,把網站的 /.well-known/acme-challenge 指向剛建立好的目錄
  4. 讓 HTTP daemon 重讀設定
  5. 執行這個指令
    dehydrated/dehydrated -c -d {網站hostname}
  6. 完成 & 成功後就會在 dehydrated/certs 發現目錄,目錄下有數個檔案
  7. 我自己讓 nginx 使用 fullchain.pem 跟 privkey.pem,設定大致如下:
    server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl on;
    ssl_certificate /SOMEWHERE/dehydrated/certs/{網站hostname}/fullchain.pem;
    ssl_certificate_key /SOMEWHERE/dehydrated/certs/{網站hostname}/privkey.pem;
    ssl_trusted_certificate /SOMEWHERE/dehydrated/certs/{網站hostname}/fullchain.pem;
    ....
}

我記得 Let’s Encrypt 的 certificate 要在 90 天內 renew,所以 cron job 這樣放:

0 0 1 */2 * /SOMEWHERE/dehydrated/letsencrypt.sh -c -d {網站hostname} &gt; /dev/null 2&gt;&amp;1

Updated : letsencrypt.sh 改為 dehydrated 。

By 0 • Tags: , , , , , , ,

12 月 10 2015

網頁相關技術的抉擇

以往的網頁純粹就是 HTML,之後的動態網頁技術 ( CGIPHPASPJSP、… )、CSSVBScriptJavascript 雖讓網頁內容/效果愈來愈多元,網頁開發/維護難度的關鍵亦僅取決於語言的熟悉度。

近幾年則是冒出了不少網頁前端 frameworks。 node.jsio.jsReactAngularBackboneEmber、…,雖說是使用相同的程式語言,但各種 frameworks 的選用與導入著實讓不少網頁前端開發人員頭疼。

考量多螢、多裝置的兼容性, COSCOP 2015 就有人提出 “每18至24個月,前端技術的難度會增加一倍以上”。
但… 真只有網頁前端開發人員的日子愈來愈難熬嗎?
SQL InjectionXSSCORS 等議題與考量呢?

我個人一直認為程式語言只是工具,沒特別去吹捧某特定程式語言;同理,我也把 frameworks 當作是工具。
我們看到的一些新技術/framework 固然很好,真有立即導入的必要性嗎?
若看到新的技術屏除跟風心態,先稍作觀望,讓環境的變化幫我們除強汰弱,另一方面加強人員的教育訓練,新技術導入前仔細評估,審慎抉擇,是否網頁開發人員就可以不必過得如此辛苦?

By , 0 • Tags: , , ,

8 月 25 2015

調整 Apache HTTPD & Apache Tomcat & nginx 的 content cache & compression

前陣子調整了一些 Apache HTTPD & Tomcat & nginx 的 cache 機制與內容壓縮機制,稍微紀錄一下。

Apache HTTPD 的 cache:

<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresByType image/gif "access plus 1 month"
  ExpiresByType image/jpeg "access plus 1 month"
  ExpiresByType image/png "access plus 1 month"
  ExpiresByType text/css "access plus 1 month"
</IfModule>

Apache HTTPD 的壓縮:

<IfModule mod_deflate.c>
  DeflateCompressionLevel 9
  AddOutputFilterByType DEFLATE text/html text/plain text/xml application/x-httpd-php
  AddOutputFilter DEFLATE js css
</IfModule>

Apache Tomcat 的 cache(在 application 的 web.xml 做調整):

  <filter>
    <filter-name>ExpiresFilter</filter-name>
    <filter-class>org.apache.catalina.filters.ExpiresFilter</filter-class>
    <init-param>
      <param-name>ExpiresByType image</param-name>
      <param-value>access plus 1 month</param-value>
    </init-param>
    <init-param>
      <param-name>ExpiresByType text/css</param-name>
      <param-value>access plus 1 month</param-value>
    </init-param>
    <init-param>
      <param-name>ExpiresByType application/javascript</param-name>
      <param-value>access plus 1 month</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>ExpiresFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
  </filter-mapping>

Apache Tomcat 的壓縮(在 conf/server.xml 做調整):

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               compression="on" compressableMimeType="text/html,text/xml,text/plain,text/css,application/javascript"
               redirectPort="8443" />

nginx 的 cache(在 server tag 內做調整):

location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
    expires 1M;
}

nginx 的壓縮(在 http tag 內做調整):

gzip_vary on;
gzip_proxied any;
gzip_comp_level 9;
gzip_buffers 8 32k;
gzip_http_version 1.0;
gzip_types text/plain text/css application/json
           application/javascript application/x-javascript text/javascript
           text/xml application/xml application/rss+xml application/atom+xml application/rdf+xml;

大概就調這些,其他多媒體檔案就看需求了…

By 0 • Tags: , , , , , ,

3 月 4 2015

勞保局的自然人憑證元件…

現在都什麼時候了… 是沒有人在用嗎? O_o

By , 0

12 月 25 2012

[Ext JS] Ext.form.field.Text 的 emptyText

為了給使用者更多的提示,讓使用者順利完成表單,我們會在 web 表單的 text 欄位使用如下的語法:

<input type="text" value="Search keyword(s)" name="s" id="s"
       onfocus="if (this.value == 'Search keyword(s)') {this.value = '';}"
       onblur="if (this.value == '') {this.value = 'Search keyword(s)';}" />

Ext JS ,則是透過 Ext.form.field.Text 的 emptyText 來實作此一效果:

Ext.create('Ext.form.field.Text', {
	id: 's' ,
	name: 's' ,
	emptyText: 'Search keyword(s)'
});

Ext JS 已經開始使用 HTML5 的語法,所以在部份瀏覽器上, Ext JS 改用 input 的 placeholder 屬性來實作;根據說明,該屬性應有相同效果,與 onfocusonblur 作連動。
但在 Ext JS 4.1.0,已經設定 emptyTextExt.form.field.Text 元件卻不會在滑鼠點選後清空文字。

目前的解法是讓 Ext JS 捨棄 placeholder 的實作;方法如下:

Ext.onReady( function() {
	Ext.supports.Placeholder = false;
	....
});

By , 0 • Tags: , , , , , , ,

12 月 14 2012

WordPress 3.5 released

官方的 Blog 文章跟影片看來,主要是支援了多媒體的大量/批次上傳。

若從 3.4.2 升級到 3.5 的話,以下這些檔案可以刪除…

More

By 0 • Tags: ,

1 2 3 4»