source: installer/resources/eepsite/jetty-ssl.xml @ d3abbe8

Last change on this file since d3abbe8 was d3abbe8, checked in by zzz <zzz@…>, 3 years ago

Fix eepsite jetty.xml and jetty-ssl.xml files
Migration script for eepsite jetty.xml and jetty-ssl.xml files
Add exclude protocols

  • Property mode set to 100644
File size: 17.4 KB
Line 
1<?xml version="1.0"?>
2<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure.dtd">
3
4<!-- ========================================================================= -->
5<!-- If you have a 'split' directory installation, with configuration          -->
6<!-- files in ~/.i2p (Linux), %APPDATA%\I2P (Windows),                         -->
7<!-- or /Users/(user)/Library/Application Support/i2p (Mac), be sure to        -->
8<!-- edit the file in the configuration directory, NOT the install directory.  -->
9<!-- When running as a Linux daemon, the configuration directory is            -->
10<!-- /var/lib/i2p and the install directory is /usr/share/i2p .                -->
11<!-- When running as a Windows service,                                        -->
12<!-- the configuration directory is \ProgramData\i2p                           -->
13<!-- and the install directory is \Program Files\i2p .                         -->
14<!--                                                                           -->
15<!-- ========================================================================= -->
16
17<!-- =============================================================== -->
18<!-- Configure SSL for the Jetty Server                              -->
19<!-- this configuration file should be used in combination with      -->
20<!-- other configuration files.                                      -->
21<!--                                                                 -->
22<!-- =============================================================== -->
23<!-- Add a HTTPS SSL listener on port 7668                           -->
24<!--                                                                 -->
25<!-- NOTE:                                                           -->
26<!--                                                                 -->
27<!-- While I2P already encrypts end-to-end, HTTPS support            -->
28<!-- is valuable for authentication.                                 -->
29<!--                                                                 -->
30<!-- These instructions are to add SSL support to an existing        -->
31<!-- HTTP Jetty website.                                             -->
32<!--                                                                 -->
33<!-- For HTTPS ONLY, create a standard server tunnel                 -->
34<!-- (NOT HTTP server), and skip step 8.                             -->
35<!--                                                                 -->
36<!-- For non-Jetty servers (e.g. Apache), follow your server         -->
37<!-- instructions to generate and configure the certificates,        -->
38<!-- and skip steps 1-7.                                             -->
39<!--                                                                 -->
40<!-- =============================================================== -->
41<!--                                                                 -->
42<!-- To add SSL support for your existing website:                   -->
43<!--                                                                 -->
44<!-- Step 1:                                                         -->
45<!-- Get the b32 for your wehsite, it's the link at the              -->
46<!-- "preview" button in the Hidden Services Manager in              -->
47<!-- the console. If you aren't running i2p, you can                 -->
48<!-- get it from your private key file                               -->
49<!-- (probably ~/.i2p/eepsite/eepPriv.dat)                           -->
50<!-- with the command:                                               -->
51<!--     java -cp ~/i2p/lib/i2p.jar net.i2p.data.PrivateKeyFile ~/.i2p/eepsite/eepPriv.dat  -->
52<!-- Save the b32 to put in the certificate's CN in Step 2.          -->
53<!--                                                                 -->
54<!--                                                                 -->
55<!-- Step 2:                                                         -->
56<!-- Generate selfsigned certificates.                               -->
57<!-- We recommend two: one for the hostname, and one for the b32.    -->
58<!-- Note that server-side SNI to serve the correct certificate      -->
59<!-- requires Java 8. Otherwise it will pick one.                    -->
60<!-- (at random? first one?)                                         -->
61<!-- Change the CN and key password in the example, of course.       -->
62<!-- It's OK to keep the keystore password as "changeit" if you like.  -->
63<!-- Use the same passwords for both certificates.                   -->
64<!-- See https://wiki.eclipse.org/Jetty/Howto/Configure_SSL          -->
65<!-- for alternate methods.                                          -->
66<!--
67   keytool -genkey -keystore ~/.i2p/eepsite/etc/keystore.ks -storepass changeit -alias b32 -dname CN=biglongkey.b32.i2p,OU=Eepsite,O=XX,L=XX,ST=XX,C=XX -validity 3652 -keyalg RSA -keysize 2048 -keypass myKeyPassword
68   keytool -genkey -keystore ~/.i2p/eepsite/etc/keystore.ks -storepass changeit -alias hostname -dname CN=example.i2p,OU=Eepsite,O=XX,L=XX,ST=XX,C=XX -validity 3652 -keyalg RSA -keysize 2048 -keypass myKeyPassword
69   chmod 600 ~/.i2p/eepsite/etc/keystore.ks
70 -->
71<!--                                                                 -->
72<!-- But does SNI work? see:                                         -->
73<!-- http://blog.ivanristic.com/2014/03/ssl-tls-improvements-in-java-8.html -->
74<!-- http://stackoverflow.com/questions/20887504/tls-extension-server-name-indication-sni-value-not-available-on-server-side -->
75<!--                                                                 -->
76<!-- And no, you can't get a real certificate for an i2p             -->
77<!-- address from a Certificate Authority, but someday               -->
78<!-- it may be possible. Here's how Tor did it:                      -->
79<!-- https://cabforum.org/2015/02/18/ballot-144-validation-rules-dot-onion-names/ -->
80<!--                                                                 -->
81<!--                                                                 -->
82<!-- Step 3:                                                         -->
83<!-- Update this configuration file.                                 -->
84<!-- Edit the KeyStorePassword, TrustStorePassword, and              -->
85<!-- KeyManagerPassword below to match the passwords from Step 2.    -->
86<!--                                                                 -->
87<!--                                                                 -->
88<!-- Step 4:                                                         -->
89<!-- If running I2P, stop the website Jetty on /configclients        -->
90<!-- in the console.                                                 -->
91<!--                                                                 -->
92<!--                                                                 -->
93<!-- Step 5:                                                         -->
94<!-- Configure Jetty to read in this file at startup.                -->
95<!-- If running I2P, edit the website Jetty on /configclients        -->
96<!-- to add the argument "/path/to/.i2p/eepsite/jetty-ssl.xml".      -->
97<!--                                                                 -->
98<!-- If I2P is not running, edit the file ~/.i2p/clients.config      -->
99<!-- to add the argument "/path/to/.i2p/eepsite/jetty-ssl.xml"       -->
100<!-- at the end of the line:                                         -->
101<!--    clientApp.3.args="eepsite/jetty.xml"                         -->
102<!-- so it now looks like:                                           -->
103<!--    clientApp.3.args="/path to/.i2p/eepsite/jetty.xml" "/path/to/.i2p/eepsite/jetty-ssl.xml" -->
104<!--                                                                 -->
105<!--                                                                 -->
106<!-- Step 6:                                                         -->
107<!-- Start Jetty.                                                    -->
108<!-- If running I2P, start the website Jetty on /configclients       -->
109<!-- in the console.                                                 -->
110<!-- If I2P is not running, start it.                                -->
111<!--                                                                 -->
112<!-- Now go to the /logs page in the console and check for errors    -->
113<!-- in both the router and wrapper logs.                            -->
114<!--                                                                 -->
115<!--                                                                 -->
116<!-- Step 7:                                                         -->
117<!-- Test Jetty.                                                     -->
118<!-- If there were no errors, test your Jetty SSL by                 -->
119<!-- going to https://127.0.0.1:7668/ in your browser.               -->
120<!-- You will have to confirm the security exception for             -->
121<!-- the selfsigned certificate.                                     -->
122<!--                                                                 -->
123<!--                                                                 -->
124<!-- Step 8:                                                         -->
125<!-- Configure i2ptunnel.                                            -->
126<!-- Tell i2ptunnel to route SSL to port 7668 by adding the          -->
127<!-- following custom option on the i2ptunnel edit page              -->
128<!-- for your website:                                               -->
129<!--        targetForPort.443=127.0.0.1:7668                         -->
130<!-- Also, verify that "Use SSL" near the top is NOT set.            -->
131<!-- That would be SSL-over-SSL, which won't work.                   -->
132<!--                                                                 -->
133<!--                                                                 -->
134<!-- Step 9:                                                         -->
135<!-- Start the tunnel if it isn't started.                           -->
136<!--                                                                 -->
137<!--                                                                 -->
138<!-- Step 10:                                                        -->
139<!-- In the i2ptunnel HTTP Client configuration,                     -->
140<!-- enable "Allow SSL to I2P addresses" if it isn't already.        -->
141<!--                                                                 -->
142<!--                                                                 -->
143<!-- Step 11:                                                        -->
144<!-- Test SSL via i2ptunnel.                                         -->
145<!-- Test SSL to your website through I2P by entering                -->
146<!-- https://yoursite.i2p/ in your browser.                          -->
147<!-- If it doesn't work, check the /logs page in the console.        -->
148<!-- You may need to adjust your browser proxy settings to           -->
149<!-- ensure that https i2p URLs are fetched through the I2P proxy.   -->
150<!-- For example, in privoxy, add                                    -->
151<!-- https://*.i2p/* and https://*.i2p:*/*                           -->
152<!--                                                                 -->
153<!--                                                                 -->
154<!-- Step 12:                                                        -->
155<!-- Tell your users.                                                -->
156<!-- Put a link to the https version on your                         -->
157<!-- home page. Remind them that in                                  -->
158<!-- the i2ptunnel HTTP Client configuration,                        -->
159<!-- enable "Allow SSL to I2P addresses" if it isn't already.        -->
160<!-- Remind them to confirm the security exception for               -->
161<!-- the selfsigned certificate (but not one for a hostname          -->
162<!-- mismatch) (but see SNI issues above).                           -->
163<!-- Users may need to adjust their browser proxy settings to        -->
164<!-- ensure that https i2p URLs are fetched through the I2P proxy.   -->
165<!-- For example, in privoxy, add                                    -->
166<!-- https://*.i2p/* and https://*.i2p:*/*                           -->
167<!--                                                                 -->
168<!-- Decide what link to use. The hostname is not secure,            -->
169<!-- as users may have a different hostname in their browser.        -->
170<!-- Also, new address helpers won't work with SSL.                  -->
171<!-- The b32 is the recommended hostname.                            -->
172<!--                                                                 -->
173<!--                                                                 -->
174<!-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -->
175
176<Configure id="Server" class="org.eclipse.jetty.server.Server">
177
178  <New id="sslContextFactory" class="org.eclipse.jetty.util.ssl.SslContextFactory">
179    <Set name="KeyStorePath">./eepsite/etc/keystore.ks</Set>
180    <Set name="KeyStorePassword">changeit</Set>
181    <Set name="KeyManagerPassword">myKeyPassword</Set>
182    <Set name="TrustStorePath">./eepsite/etc/keystore.ks</Set>
183    <Set name="TrustStorePassword">changeit</Set>
184    <Set name="ExcludeCipherSuites">
185      <Array type="java.lang.String">
186        <Item>SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA</Item>
187        <Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
188        <Item>SSL_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
189        <Item>SSL_DH_anon_WITH_DES_CBC_SHA</Item>
190        <Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
191        <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
192        <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
193        <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
194        <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
195        <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
196        <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
197        <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
198        <Item>SSL_RSA_WITH_NULL_MD5</Item>
199        <Item>SSL_RSA_WITH_NULL_SHA</Item>
200        <Item>TLS_DH_anon_WITH_AES_128_CBC_SHA</Item>
201        <Item>TLS_DH_anon_WITH_AES_128_CBC_SHA256</Item>
202        <Item>TLS_DH_anon_WITH_AES_128_GCM_SHA256</Item>
203        <Item>TLS_DH_anon_WITH_AES_256_CBC_SHA</Item>
204        <Item>TLS_DH_anon_WITH_AES_256_CBC_SHA256</Item>
205        <Item>TLS_DH_anon_WITH_AES_256_GCM_SHA384</Item>
206        <Item>TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA</Item>
207        <Item>TLS_ECDH_anon_WITH_AES_128_CBC_SHA</Item>
208        <Item>TLS_ECDH_anon_WITH_AES_256_CBC_SHA</Item>
209        <Item>TLS_ECDH_anon_WITH_NULL_SHA</Item>
210        <Item>TLS_ECDH_anon_WITH_RC4_128_SHA</Item>
211        <Item>TLS_ECDH_ECDSA_WITH_NULL_SHA</Item>
212        <Item>TLS_ECDHE_ECDSA_WITH_NULL_SHA</Item>
213        <Item>TLS_ECDHE_RSA_WITH_NULL_SHA</Item>
214        <Item>TLS_ECDH_RSA_WITH_NULL_SHA</Item>
215        <Item>TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5</Item>
216        <Item>TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA</Item>
217        <Item>TLS_KRB5_EXPORT_WITH_RC4_40_MD5</Item>
218        <Item>TLS_KRB5_EXPORT_WITH_RC4_40_SHA</Item>
219        <Item>TLS_KRB5_WITH_3DES_EDE_CBC_MD5</Item>
220        <Item>TLS_KRB5_WITH_3DES_EDE_CBC_SHA</Item>
221        <Item>TLS_KRB5_WITH_DES_CBC_MD5</Item>
222        <Item>TLS_KRB5_WITH_DES_CBC_SHA</Item>
223        <Item>TLS_KRB5_WITH_RC4_128_MD5</Item>
224        <Item>TLS_KRB5_WITH_RC4_128_SHA</Item>
225        <Item>TLS_RSA_WITH_NULL_SHA256</Item>
226        <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
227        <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
228        <Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
229        <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
230        <Item>SSL_RSA_WITH_RC4_128_SHA</Item>
231        <Item>TLS_ECDH_ECDSA_WITH_RC4_128_SHA</Item>
232        <Item>TLS_ECDH_RSA_WITH_RC4_128_SHA</Item>
233        <Item>TLS_ECDHE_ECDSA_WITH_RC4_128_SHA</Item>
234        <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
235        <Item>TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
236        <Item>TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
237        <Item>TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
238        <Item>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
239        <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
240        <!-- Please keep this list in sync with the one in I2PSSLSocketFactory -->
241      </Array>
242    </Set>
243    <Set name="ExcludeProtocols">
244      <Array type="java.lang.String">
245        <Item>SSLv2Hello</Item>
246        <Item>SSLv3</Item>
247      </Array>
248    </Set>
249  </New>
250
251  <Call name="addConnector">
252    <Arg>
253      <New class="org.eclipse.jetty.server.ServerConnector">
254        <Arg><Ref id="Server" /></Arg>
255        <Arg type="int">1</Arg>     <!-- number of acceptors -->
256        <Arg type="int">0</Arg>     <!-- default number of selectors -->
257        <Arg>
258           <Array type="org.eclipse.jetty.server.ConnectionFactory">    <!-- varargs so we need an array -->
259              <Item>
260                <New class="org.eclipse.jetty.server.SslConnectionFactory">
261                  <Arg><Ref id="sslContextFactory" /></Arg>
262                  <Arg>http/1.1</Arg>
263                </New>
264              </Item>
265              <Item>
266                <New class="org.eclipse.jetty.server.HttpConnectionFactory">
267                  <Arg>
268                    <New class="org.eclipse.jetty.server.HttpConfiguration">
269                      <Set name="sendServerVersion">false</Set>
270                      <Set name="sendDateHeader">true</Set>
271                    </New>
272                  </Arg>
273                </New>
274              </Item>
275            </Array>
276        </Arg>
277        <Set name="host">127.0.0.1</Set>
278        <Set name="port">7668</Set>
279        <Set name="idleTimeout">600000</Set>
280      </New>
281    </Arg>
282  </Call>
283</Configure>
Note: See TracBrowser for help on using the repository browser.