限制 Tomcat 部署管理器的 HTTPS

限制 Tomcat 部署管理器的 HTTPS

作为 PCI 要求,我希望在 HTTPS 上获取 tomcat 部署管理器,因为密码以纯文本形式流动。

我尝试了一些资源,例如

我当前的连接器如下:

<Connector protocol="org.apache.coyote.ajp.AjpProtocol" executor="tomcatThreadPool"  port="8301" address="0.0.0.0"
        tomcatAuthentication="false" redirectPort="443" proxyPort="443" connectionTimeout="1000" keepAliveTimeout="300000" packetSize="21000" maxHttpHeaderSize="3600000" />

并且我可以成功访问给定端口上的管理器。

我通过添加以下内容将其更改security-contraint为启用。HTTPS

<security-constraint>
     <web-resource-collection>
        <web-resource-name>Protected Context</web-resource-name>
          <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <!-- auth-constraint goes here if you requre authentication -->
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>

如果我遗漏了什么,请指出。任何博客或某种文档也会有所帮助。

相关内容