andbin ha scritto:
Se il dubbio/problema è il trasferimento di dati su un canale insicuro (es. internet) la soluzione esiste già: HTTPS
Ebbene, dopo un mese, mi hanno ( l'università ) generato un certificato trusted.
Dovendo applicarlo su una applicazione java springboot ci sono dei semplici passi da fare:
1) generare una chiave privata dal certificato ( l'ho generato con keytool sulla macchina, Window Server 2016, da dove ho generato la richiesta di certificato e dove girarà l'applicazione, usando comandi simili a:
keytool -import -alias tomcat -file myCertificate.cer -keystore keystore.p12 -storepass password
)
2) configurare il file application.yml (o .properties ) con i dati della chiave.
3) aggiungere del codice:
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.requiresChannel()
.anyRequest()
.requiresSecure();
}
}
Avendo generato la chiave con un certo alias ( nell'esempio "tomcat" ), all'avvio, il servizio mi dice una cosa simile a:
Alias name tomcat does not identify a key entry
Io mi chiedo se al momento della generazione del certificato ( in questo caso lo ha fatto un ente certificatore sotto richiesta dell'università ) non abbiano inserito questo particolare alias e che quindi devo richiederlo a quelli dell'Università.
Scusate per l'ignoranza,pls.