source: installer/resources/eepsite/jetty-ssl.xml @ 18b61e7

Last change on this file since 18b61e7 was 18b61e7, checked in by zzz <zzz@…>, 4 years ago

Config files, eepsite help: Add path information for OS X
and Windows as a service. (ticket #1495)

  • Property mode set to 100644
File size: 16.8 KB
Line 
1<?xml version="1.0"?>
2<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure.dtd">
3
4<!-- ========================================================================= -->
5<!-- If you have a 'split' directory installation, with configuration          -->
6<!-- files in ~/.i2p (Linux), %APPDATA%\I2P (Windows),                         -->
7<!-- or /Users/(user)/Library/Application Support/i2p (Mac), be sure to        -->
8<!-- edit the file in the configuration directory, NOT the install directory.  -->
9<!-- When running as a Linux daemon, the configuration directory is            -->
10<!-- /var/lib/i2p and the install directory is /usr/share/i2p .                -->
11<!-- When running as a Windows service,                                        -->
12<!-- the configuration directory is \ProgramData\i2p                           -->
13<!-- and the install directory is \Program Files\i2p .                         -->
14<!--                                                                           -->
15<!-- ========================================================================= -->
16
17<!-- =============================================================== -->
18<!-- Configure SSL for the Jetty Server                              -->
19<!-- this configuration file should be used in combination with      -->
20<!-- other configuration files.                                      -->
21<!--                                                                 -->
22<!-- =============================================================== -->
23<!-- Add a HTTPS SSL listener on port 7668                           -->
24<!--                                                                 -->
25<!-- NOTE:                                                           -->
26<!--                                                                 -->
27<!-- While I2P already encrypts end-to-end, HTTPS support            -->
28<!-- is valuable for authentication.                                 -->
29<!--                                                                 -->
30<!-- These instructions are to add SSL support to an existing        -->
31<!-- HTTP Jetty website.                                             -->
32<!--                                                                 -->
33<!-- For HTTPS ONLY, create a standard server tunnel                 -->
34<!-- (NOT HTTP server), and skip step 8.                             -->
35<!--                                                                 -->
36<!-- For non-Jetty servers (e.g. Apache), follow your server         -->
37<!-- instructions to generate and configure the certificates,        -->
38<!-- and skip steps 1-7.                                             -->
39<!--                                                                 -->
40<!-- =============================================================== -->
41<!--                                                                 -->
42<!-- To add SSL support for your existing website:                   -->
43<!--                                                                 -->
44<!-- Step 1:                                                         -->
45<!-- Get the b32 for your wehsite, it's the link at the              -->
46<!-- "preview" button in the Hidden Services Manager in              -->
47<!-- the console. If you aren't running i2p, you can                 -->
48<!-- get it from your private key file                               -->
49<!-- (probably ~/.i2p/eepsite/eepPriv.dat)                           -->
50<!-- with the command:                                               -->
51<!--     java -cp ~/i2p/lib/i2p.jar net.i2p.data.PrivateKeyFile ~/.i2p/eepsite/eepPriv.dat  -->
52<!-- Save the b32 to put in the certificate's CN in Step 2.          -->
53<!--                                                                 -->
54<!--                                                                 -->
55<!-- Step 2:                                                         -->
56<!-- Generate selfsigned certificates.                               -->
57<!-- We recommend two: one for the hostname, and one for the b32.    -->
58<!-- Note that server-side SNI to serve the correct certificate      -->
59<!-- requires Java 8. Otherwise it will pick one.                    -->
60<!-- (at random? first one?)                                         -->
61<!-- Change the CN and key password in the example, of course.       -->
62<!-- It's OK to keep the keystore password as "changeit" if you like.  -->
63<!-- Use the same passwords for both certificates.                   -->
64<!-- See https://wiki.eclipse.org/Jetty/Howto/Configure_SSL          -->
65<!-- for alternate methods.                                          -->
66<!--
67   keytool -genkey -keystore ~/.i2p/eepsite/etc/keystore.ks -storepass changeit -alias b32 -dname CN=biglongkey.b32.i2p,OU=Eepsite,O=XX,L=XX,ST=XX,C=XX -validity 3652 -keyalg RSA -keysize 2048 -keypass myKeyPassword
68   keytool -genkey -keystore ~/.i2p/eepsite/etc/keystore.ks -storepass changeit -alias hostname -dname CN=example.i2p,OU=Eepsite,O=XX,L=XX,ST=XX,C=XX -validity 3652 -keyalg RSA -keysize 2048 -keypass myKeyPassword
69   chmod 600 ~/.i2p/eepsite/etc/keystore.ks
70 -->
71<!--                                                                 -->
72<!-- But does SNI work? see:                                         -->
73<!-- http://blog.ivanristic.com/2014/03/ssl-tls-improvements-in-java-8.html -->
74<!-- http://stackoverflow.com/questions/20887504/tls-extension-server-name-indication-sni-value-not-available-on-server-side -->
75<!--                                                                 -->
76<!-- And no, you can't get a real certificate for an i2p             -->
77<!-- address from a Certificate Authority, but someday               -->
78<!-- it may be possible. Here's how Tor did it:                      -->
79<!-- https://cabforum.org/2015/02/18/ballot-144-validation-rules-dot-onion-names/ -->
80<!--                                                                 -->
81<!--                                                                 -->
82<!-- Step 3:                                                         -->
83<!-- Update this configuration file.                                 -->
84<!-- Edit the KeyStorePassword, TrustStorePassword, and              -->
85<!-- KeyManagerPassword below to match the passwords from Step 2.    -->
86<!--                                                                 -->
87<!--                                                                 -->
88<!-- Step 4:                                                         -->
89<!-- If running I2P, stop the website Jetty on /configclients        -->
90<!-- in the console.                                                 -->
91<!--                                                                 -->
92<!--                                                                 -->
93<!-- Step 5:                                                         -->
94<!-- Configure Jetty to read in this file at startup.                -->
95<!-- If running I2P, edit the website Jetty on /configclients        -->
96<!-- to add the argument "/path/to/.i2p/eepsite/jetty-ssl.xml".      -->
97<!--                                                                 -->
98<!-- If I2P is not running, edit the file ~/.i2p/clients.config      -->
99<!-- to add the argument "/path/to/.i2p/eepsite/jetty-ssl.xml"       -->
100<!-- at the end of the line:                                         -->
101<!--    clientApp.3.args="eepsite/jetty.xml"                         -->
102<!-- so it now looks like:                                           -->
103<!--    clientApp.3.args="/path to/.i2p/eepsite/jetty.xml" "/path/to/.i2p/eepsite/jetty-ssl.xml" -->
104<!--                                                                 -->
105<!--                                                                 -->
106<!-- Step 6:                                                         -->
107<!-- Start Jetty.                                                    -->
108<!-- If running I2P, start the website Jetty on /configclients       -->
109<!-- in the console.                                                 -->
110<!-- If I2P is not running, start it.                                -->
111<!--                                                                 -->
112<!-- Now go to the /logs page in the console and check for errors    -->
113<!-- in both the router and wrapper logs.                            -->
114<!--                                                                 -->
115<!--                                                                 -->
116<!-- Step 7:                                                         -->
117<!-- Test Jetty.                                                     -->
118<!-- If there were no errors, test your Jetty SSL by                 -->
119<!-- going to https://127.0.0.1:7668/ in your browser.               -->
120<!-- You will have to confirm the security exception for             -->
121<!-- the selfsigned certificate.                                     -->
122<!--                                                                 -->
123<!--                                                                 -->
124<!-- Step 8:                                                         -->
125<!-- Configure i2ptunnel.                                            -->
126<!-- Tell i2ptunnel to route SSL to port 7668 by adding the          -->
127<!-- following custom option on the i2ptunnel edit page              -->
128<!-- for your website:                                               -->
129<!--        targetForPort.443=127.0.0.1:7668                         -->
130<!-- Also, verify that "Use SSL" near the top is NOT set.            -->
131<!-- That would be SSL-over-SSL, which won't work.                   -->
132<!--                                                                 -->
133<!--                                                                 -->
134<!-- Step 9:                                                         -->
135<!-- Start the tunnel if it isn't started.                           -->
136<!--                                                                 -->
137<!--                                                                 -->
138<!-- Step 10:                                                        -->
139<!-- In the i2ptunnel HTTP Client configuration,                     -->
140<!-- enable "Allow SSL to I2P addresses" if it isn't already.        -->
141<!--                                                                 -->
142<!--                                                                 -->
143<!-- Step 11:                                                        -->
144<!-- Test SSL via i2ptunnel.                                         -->
145<!-- Test SSL to your website through I2P by entering                -->
146<!-- https://yoursite.i2p/ in your browser.                          -->
147<!-- If it doesn't work, check the /logs page in the console.        -->
148<!-- You may need to adjust your browser proxy settings to           -->
149<!-- ensure that https i2p URLs are fetched through the I2P proxy.   -->
150<!-- For example, in privoxy, add                                    -->
151<!-- https://*.i2p/* and https://*.i2p:*/*                           -->
152<!--                                                                 -->
153<!--                                                                 -->
154<!-- Step 12:                                                        -->
155<!-- Tell your users.                                                -->
156<!-- Put a link to the https version on your                         -->
157<!-- home page. Remind them that in                                  -->
158<!-- the i2ptunnel HTTP Client configuration,                        -->
159<!-- enable "Allow SSL to I2P addresses" if it isn't already.        -->
160<!-- Remind them to confirm the security exception for               -->
161<!-- the selfsigned certificate (but not one for a hostname          -->
162<!-- mismatch) (but see SNI issues above).                           -->
163<!-- Users may need to adjust their browser proxy settings to        -->
164<!-- ensure that https i2p URLs are fetched through the I2P proxy.   -->
165<!-- For example, in privoxy, add                                    -->
166<!-- https://*.i2p/* and https://*.i2p:*/*                           -->
167<!--                                                                 -->
168<!-- Decide what link to use. The hostname is not secure,            -->
169<!-- as users may have a different hostname in their browser.        -->
170<!-- Also, new address helpers won't work with SSL.                  -->
171<!-- The b32 is the recommended hostname.                            -->
172<!--                                                                 -->
173<!--                                                                 -->
174<!-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -->
175
176<Configure id="Server" class="org.eclipse.jetty.server.Server">
177
178  <!-- if NIO is not available, use org.eclipse.jetty.server.ssl.SslSocketConnector -->
179 
180  <New id="sslContextFactory" class="org.eclipse.jetty.http.ssl.SslContextFactory">
181    <Set name="KeyStore">./eepsite/etc/keystore.ks</Set>
182    <Set name="KeyStorePassword">changeit</Set>
183    <Set name="KeyManagerPassword">myKeyPassword</Set>
184    <Set name="TrustStore">./eepsite/etc/keystore.ks</Set>
185    <Set name="TrustStorePassword">changeit</Set>
186  </New>
187
188  <Call name="addConnector">
189    <Arg>
190      <New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
191        <Arg><Ref id="sslContextFactory" /></Arg>
192        <Set name="host">127.0.0.1</Set>
193        <Set name="port">7668</Set>
194        <Set name="maxIdleTime">600000</Set>
195        <Set name="useDirectBuffers">false</Set>
196        <Set name="acceptors">1</Set>
197        <Set name="statsOn">false</Set>
198        <Set name="lowResourcesConnections">5000</Set>
199        <Set name="lowResourcesMaxIdleTime">5000</Set>
200        <Set name="ExcludeCipherSuites">
201          <Array type="java.lang.String">
202            <Item>SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA</Item>
203            <Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
204            <Item>SSL_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
205            <Item>SSL_DH_anon_WITH_DES_CBC_SHA</Item>
206            <Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
207            <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
208            <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
209            <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
210            <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
211            <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
212            <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
213            <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
214            <Item>SSL_RSA_WITH_NULL_MD5</Item>
215            <Item>SSL_RSA_WITH_NULL_SHA</Item>
216            <Item>TLS_DH_anon_WITH_AES_128_CBC_SHA</Item>
217            <Item>TLS_DH_anon_WITH_AES_128_CBC_SHA256</Item>
218            <Item>TLS_DH_anon_WITH_AES_128_GCM_SHA256</Item>
219            <Item>TLS_DH_anon_WITH_AES_256_CBC_SHA</Item>
220            <Item>TLS_DH_anon_WITH_AES_256_CBC_SHA256</Item>
221            <Item>TLS_DH_anon_WITH_AES_256_GCM_SHA384</Item>
222            <Item>TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA</Item>
223            <Item>TLS_ECDH_anon_WITH_AES_128_CBC_SHA</Item>
224            <Item>TLS_ECDH_anon_WITH_AES_256_CBC_SHA</Item>
225            <Item>TLS_ECDH_anon_WITH_NULL_SHA</Item>
226            <Item>TLS_ECDH_anon_WITH_RC4_128_SHA</Item>
227            <Item>TLS_ECDH_ECDSA_WITH_NULL_SHA</Item>
228            <Item>TLS_ECDHE_ECDSA_WITH_NULL_SHA</Item>
229            <Item>TLS_ECDHE_RSA_WITH_NULL_SHA</Item>
230            <Item>TLS_ECDH_RSA_WITH_NULL_SHA</Item>
231            <Item>TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5</Item>
232            <Item>TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA</Item>
233            <Item>TLS_KRB5_EXPORT_WITH_RC4_40_MD5</Item>
234            <Item>TLS_KRB5_EXPORT_WITH_RC4_40_SHA</Item>
235            <Item>TLS_KRB5_WITH_3DES_EDE_CBC_MD5</Item>
236            <Item>TLS_KRB5_WITH_3DES_EDE_CBC_SHA</Item>
237            <Item>TLS_KRB5_WITH_DES_CBC_MD5</Item>
238            <Item>TLS_KRB5_WITH_DES_CBC_SHA</Item>
239            <Item>TLS_KRB5_WITH_RC4_128_MD5</Item>
240            <Item>TLS_KRB5_WITH_RC4_128_SHA</Item>
241            <Item>TLS_RSA_WITH_NULL_SHA256</Item>
242            <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
243            <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
244            <Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
245            <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
246            <Item>SSL_RSA_WITH_RC4_128_SHA</Item>
247            <Item>TLS_ECDH_ECDSA_WITH_RC4_128_SHA</Item>
248            <Item>TLS_ECDH_RSA_WITH_RC4_128_SHA</Item>
249            <Item>TLS_ECDHE_ECDSA_WITH_RC4_128_SHA</Item>
250            <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
251            <Item>TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
252            <Item>TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
253            <Item>TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
254            <Item>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
255            <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
256            <!-- Please keep this list in sync with the one in I2PSSLSocketFactory -->
257          </Array>
258        </Set>
259      </New>
260    </Arg>
261  </Call>
262</Configure>
Note: See TracBrowser for help on using the repository browser.