Een CSR Genereren en Een SSL-Certificaat Installeren in Tomcat 4.x/5.x/6.x/7.x
Wanneer je een SSL-certificaat aanvraagt, moet je een certificaatondertekeningsaanvraag (CSR) opgeven van je server. De CSR bevat je openbare sleutel en moet dezelfde gegevens bevatten als het online aanvraagformulier in je account. Nadat je aanvraag is onderzocht en je certificaat is afgegeven, moet je alle gegeven bestanden downloaden en installeren om de installatie te voltooien.
OPMERKING: Deze stappen beschrijven het installeren van een certificaat met gebruik van een sleutelprogramma, dus je moet Java 2 SDK 1.2 of hoger hebben geïnstalleerd op je server.
Een sleutelarchief en CSR genereren in Tomcat.
Gebruik het sleutelprogramma om deze stappen te volgen voor het genereren van een sleutelarchief en CSR op je server.
Een sleutelarchief en CSR genereren in Tomcat
- Voer de volgende opdracht in het sleutelprogramma in om een sleutelarchief te maken:
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
- Voer een Wachtwoord in Het standaardwachtwoord is changeit.
- Voer FQDN-informatie in:
- Voor- en achternaam — De FQDN-naam of URL die je beveiligt. Als je een Wildcard-certificaat aanvraagt, voeg je een sterretje (*) toe aan de linkerkant van de gemeenschappelijke naam waar je de wildcard wilt hebben, bijvoorbeeld *.coolexample.com.
- Organisatie-eenheid — Optioneel. Je kunt indien van toepassing de DBA-naam in dit veld invoeren.
- Organisatie — De volledige juridische naam van je organisatie. De vermelde organisatie moet de juridische registrant zijn van de domeinnaam in de certificaataanvraag. Als je je registreert als individu, moet je de naam van de certificaataanvrager invoeren in Organisatie, en de DBA-naam (doing business as) in Organisatie-eenheid.
- Stad/plaats — Naam van de plaats waar de organisatie is geregistreerd/gevestigd — niet afkorten.
- Staat/provincie — Naam van de staat of provincie waar je organisatie is gevestigd — niet afkorten.
- Landencode — De landencode met twee letters in ISO-indeling (International Organization for Standardization) voor waar je organisatie juridisch is geregistreerd.
- Voer de volgende opdracht in het sleutelprogramma in om een CSR te maken:
keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
- Voer het Wachtwoord in dat je hebt opgegeven in Stap 2.
- Open het CSR-bestand en kopieer alle tekst, inclusief
----BEGIN NEW CERTIFICATE REQUEST----
en----END CERTIFICATE REQUEST----
- Plak alle tekst in het online aanvraagformulier en rond je aanvraag af.
Zie Een SSL-certificaat aanvragen voor meer informatie over het invullen van het online aanvraagformulier.
Na het indienen van je aanvraag, beginnen wij met het onderzoeken van je aanvraag. Je ontvangt een e-mail met meer informatie wanneer dit proces is voltooid.
Je SSL installeren in Tomcat
Nadat het certificaat is afgegeven, moet je het downloaden van Certificaatbeheer en het in dezelfde map plaatsen als je sleutelarchief. Voer vervolgens met gebruik van het sleutelprogramma de volgende opdrachten in om de certificaten te installeren.
De bestandsnamen voor je bron- en tussenliggende certificaten zijn afhankelijk van je handtekeningalgoritme.
- SHA-1-broncertificaat:
sf_class2_root.crt
- SHA-2-broncertificaat:
sfroot-g2.crt
- SHA-1-tussenliggend certificaat:
sf.intermediate.crt
- SHA-2-tussenliggend certificaat:
sfig2.crt
Je moet geen SSL-certificaten gebruiken die het SHA-1-algoritme gebruiken (meer informatie).
Je kunt ook certificaten downloaden uit de repository.
Je SSL installeren in Tomcat
- Installeer het broncertificaat door het uitvoeren van de volgende opdracht:
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file naam van het broncertificaat>
- Installeer het tussenliggende certificaat door het uitvoeren van de volgende opdracht:
keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file naam van het tussenliggende certificaat>
- Installeer het afgegeven certificaat in het sleutelarchief door het uitvoeren van de volgende opdracht:
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file naam van het certificaat> - Werk het bestand
server.xml
bij met de juiste sleutelarchieflocatie in de Tomcat-map.OPMERKING: De HTTPS-connector is standaard uitgeschakeld. verwijder de opmerkinglabels voor het inschakelen van HTTPS.
- Tomcat 4.x — Werk de volgende elementen bij in server.xml voor Tomcat 4.x:
clientAuth="false"
protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
keystorePass="changeit" /> - Tomcat 5.x, 6.x and 7.x — Werk de volgende elementen bij in server.xml voor Tomcat 5.x, 6.x en 7.x:
<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
- Tomcat 4.x — Werk de volgende elementen bij in server.xml voor Tomcat 4.x: