In Tomcat 4.x/5.x/6.x/7.x Eine CSR Erstellen Und Ein SSL-Zertifikat Installieren
Wenn Sie ein SSL-Zertifikat anfordern, müssen Sie eine Zertifikatsignieranforderung (CSR) von Ihrem Server bereitstellen. Die CSR enthält Ihren öffentlichen Schlüssel und muss die gleichen Angaben enthalten wie die Online-Anforderung aus Ihrem Konto. Nachdem Ihre Anforderung genehmigt und Ihr Zertifikat ausgestellt wurde, laden Sie alle bereitgestellten Dateien herunter, und installieren Sie sie.
HINWEIS: In diesen Schritten wird die Installation eines Zertifikats mit dem Keytool beschrieben. Dazu muss auf Ihrem Server Java 2 SDK 1.2 oder höher installiert sein.
Keystore und CSR in Tomcat erstellen
Verwenden Sie das Keytool, und gehen Sie nach der folgenden Anleitung vor, um einen Keystore und eine CSR auf Ihrem Server zu erstellen.
So erstellen Sie in Tomcat einen Keystore und eine CSR
- Geben Sie im Keytool den folgenden Befehl ein, um einen Keystore zu erstellen:
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
- Geben Sie ein Passwort ein. Das Standardpasswort lautet changeit.
- Geben Sie die definierten Daten ein:
- Allgemeiner Name - den voll qualifizierten Domainnamen, oder die URL, die Sie sichern möchten. Wenn Sie ein Wildcard-Zertifikat anfordern, fügen Sie links neben dem allgemeinen Namen an der gewünschten Stelle den Platzhalter ein, zum Beispiel *.coolesbeispiel.com.
- Unternehmensbereich - optional. Gegebenenfalls können Sie hier den Namen angeben, unter dem Ihr Unternehmen firmiert.
- Unternehmen - die vollständige offizielle Bezeichnung Ihres Unternehmens. Das aufgeführte Unternehmen muss der Registrant des in der Zertifikatanforderung aufgeführten Domainnamens sein. Wenn Sie das Zertifikat als Einzelperson anfordern, geben Sie bitte den Namen des Zertifikatanforderers unter Unternehmen ein und den Namen, unter dem Sie firmieren (DBA-Namen) unter Unternehmensbereich.
- Ort/Gemeinde - die Gemeinde, in der Ihr Unternehmen eingetragen ist/seinen Sitz hat. Den Ortsnamen bitte ausschreiben und nicht abkürzen.
- Bundesland/Kanton - Name des Bundeslands oder Kantons, in dem Ihr Unternehmen seinen Sitz hat. Bitte ausschreiben und nicht abkürzen.
- Ländercode - der zweistellige ISO-Ländercode des Landes, in dem Ihr Unternehmen eingetragen ist.
- Geben Sie den folgenden Befehl im Keytool ein, um eine CSR zu erstellen:
keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
- Geben Sie das Passwort ein, das Sie in Schritt 2 erstellt haben.
- Öffnen Sie die CSR-Datei, und kopieren Sie den gesamten Text, einschließlich
----BEGIN NEW CERTIFICATE REQUEST----
und----END CERTIFICATE REQUEST----
. - Fügen Sie den gesamten Text in das Online-Anforderungsformular ein, und schließen Sie Ihren Antrag ab.
Weitere Informationen zum Ausfüllen des Online-Anforderungsformulars finden Sie unter Ein SSL-Zertifikat anfordern.
Wenn Sie Ihren Antrag eingereicht haben, beginnen wir mit der Prüfung. Nach Abschluss der Prüfung erhalten Sie eine E-Mail mit weiteren Informationen.
SSL in Tomcat installieren
Wenn das Zertifikat ausgestellt ist, laden Sie es aus dem Zertifikatmanager herunter, und legen Sie es in dem Verzeichnis ab, in dem auch Ihr Keystore gespeichert ist. Installieren Sie dann das Zertifikat, indem Sie im Keytool die unten aufgeführten Befehle eingeben.
Die Dateinamen für Ihr Stamm- und Zwischenzertifikat hängen von Ihrem Signaturalgorithmus ab.
- SHA-1 root certificate: sf_class2_root.crt
- SHA-2 root certificate: sfroot-g2.crt
- SHA-1 intermediate certificate: sf.intermediate.crt
- SHA-2 intermediate certificate: sfig2.crt
Sie sollten keine SSL-Zertifikate mit dem SHA-1-Algorithmus verwenden (weitere Informationen).
Sie können Ihr Zertifikat auch aus dem Repository.
So installieren Sie SSL in Tomcat
- Installieren Sie das Stammzertifikat mit folgendem Befehl:
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file Name des Stammzertifikats>
- Installieren Sie das Zwischenzertifikat mit folgendem Befehl:
keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file Name des Zwischenzertifikats>
- Installieren Sie das ausgestellte Zertifikat im Keystore mit folgendem Befehl:
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file Name des Zertifikats>
- Geben Sie in der Datei
server.xml
den richtigen Keystore-Pfad im Tomcat-Verzeichnis ein.HINWEIS: Der HTTPS-Connector ist standardmäßig mit Kommentar-Tags versehen. Entfernen Sie die Tags (), um HTTPS zu aktivieren.
- Tomcat 4.x - aktualisieren Sie die folgenden Elemente in der Datei server.xml für Tomcat 4.x:
clientAuth="false"
protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
keystorePass="changeit" /> - Tomcat 5.x, 6.x und 7.x - aktualisieren Sie die folgenden Elemente in der Datei server.xml für Tomcat 5.x, 6.x und 7.x:
<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
- Tomcat 4.x - aktualisieren Sie die folgenden Elemente in der Datei server.xml für Tomcat 4.x: