Génération D'une Demande De Certificat Et Installation D'un Certificat SSL Avec Tomcat 4.x/5.x/6.x/7.x
Lorsque vous demandez un certificat SSL, vous devez fournir une demande de signature de certificat (CSR) à partir de votre serveur Web. Cette demande inclut votre clé publique et doit inclure les mêmes informations que le formulaire de demande en ligne de votre compte. Une fois votre demande validée et votre certificat émis, téléchargez et installez tous les fichiers fournis pour terminer l'installation.
REMARQUE - Ces étapes décrivent la procédure d'installation d'un certificat à l'aide de Keytool ; vous devez disposer de Java 2 SDK 1.2 (ou version ultérieure) sur votre serveur.
Génération d'un magasin de clés et d'une demande de certificat (CSR) sous Tomcat
À l'aide de Keytool, procédez comme suit pour générer un magasin de clés et une demande de certificat sur votre serveur.
Pour générer un magasin de clés et une demande de certificat (CSR) sous Tomcat
- Entrez la commande suivante dans Keytool pour créer un magasin de clés :
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
- Entrez un mot de passe. Par défaut, le mot de passe est changeit.
- Entrez les Informations uniques :
- Prénom et Nom — Nom de domaine entièrement qualifié (ou URL) que vous allez sécuriser. Si vous demandez un certificat générique, ajoutez un astérisque (*) à gauche du nom commun, à l'emplacement où vous souhaitez faire apparaître la valeur générique, par exemple *.coolexample.com.
- Unité organisationnelle — Facultatif. Le cas échéant, entrez le nom DBA dans ce champ.
- Organisation — Le nom officiel de votre entreprise ou organisation. L'organisation indiquée doit être celle associée officiellement à l'enregistrement du nom de domaine dans la demande de certificat. Si votre demande est effectuée à titre individuel, entrez le nom du demandeur du certificat dans Organisation et le nom DBA dans Unité organisationnelle.
- Ville ou localité — Nom de la ville où votre société est enregistrée/implantée. Ne pas abréger.
- Province/Région - Nom de la province (ou autre type de région) où votre société est implantée. Ne pas abréger.
- Code pays — Code de votre pays (code ISO international de deux lettres correspondant au pays dans lequel votre société est enregistrée officiellement).
- Entrez la commande suivante dans Keytool pour créer une demande de certificat :
keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
- Entrez le Mot de passe fourni à l'Étape 2.
- Ouvrez le fichier de demande de certificat et copiez tout le texte, de
----BEGIN NEW CERTIFICATE REQUEST----
à----END CERTIFICATE REQUEST----
inclus. - Collez tout ce texte dans le formulaire de demande en ligne et terminez votre demande.
Pour plus d'informations sur le remplissage du formulaire de demande en ligne, consultez Demande de certificat SSL.
Une fois la demande envoyée, nous la vérifiions. Vous allez recevoir un e-mail contenant d'autres informations une fois cette procédure terminée.
Installation de votre certificat SSL sous Tomcat
Une fois le certificat émis, téléchargez-le depuis le Gestionnaire de certificats et placez-le dans le même dossier que votre magasin de clés. Ensuite, à l'aide de Keytool, entrez les commandes suivantes pour installer les certificats.
Les noms de fichier de vos certificats racine et intermédiaires dépendent de votre algorithme de signature.
- Certificat racine SHA-1 :
sf_class2_root.crt
- Certificat racine SHA-2 :
sfroot-g2.crt
- Certificat intermédiaire SHA-1 :
sf.intermediate.crt
- Certificat intermédiaire SHA-2 :
sfig2.crt
Les certificats SSL utilisant l'algorithme SHA-1 ne sont pas recommandés (en savoir plus).
Vous pouvez également télécharger des certificats depuis le référentiel.
Pour installer votre certificat SSL sous Tomcat
- Installez le certificat racine en exécutant la commande suivante :
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file nom du certificat racine>
- Installez le certificat intermédiaire en exécutant la commande suivante :
keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file nom du certificat intermédiaire>
- Installez le certificat émis dans le magasin de clés en exécutant la commande suivante :
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file nom du certificat> - Modifiez le fichier
server.xml
en incluant l'emplacement correct du magasin de clés dans le répertoire Tomcat.REMARQUE - Par défaut, le connecteur HTTPS est en commentaire. Supprimez les codes de commentaire pour activer HTTPS.
- Tomcat 4.x — Modifiez les éléments suivants dans server.xml pour Tomcat 4.x :
clientAuth="false"
protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
keystorePass="changeit" /> - Tomcat 5.x, 6.x et 7.x — Modifiez les éléments suivants dans server.xml pour Tomcat 5.x, 6.x et 7.x :
<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
- Tomcat 4.x — Modifiez les éléments suivants dans server.xml pour Tomcat 4.x :