Tento postup ilustruje, jak nainstalovat certifikáty SSL na server Tomcat nebo na jiný server založený na jazyce Java keytool, nástroj příkazového řádku pro správu klíčů a certifikátů v Java KeyStore.
Kořenové a střednědobé certifikáty
Správné fungování certifikátu serveru závisí na úspěšné instalaci certifikátů střední a kořenové. Celý řetězec certifikátů SSL.com obvykle obsahuje 4 soubory (starší kořeny USERTRUST také používají 4 soubory):
Kořeny SSL.com
| Soubory certifikátů |
Popis |
|---|---|
| CERTUM_TRUSTED_NETWORK_CA.crt | Root 1 certifikát |
| SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Root 2 certifikát |
| SSL_COM_RSA_SSL_SUBCA.crt | Průběžný certifikát |
| vaše_doména_zde.crt | Certifikát podepsaného serveru |
USERTRUST kořeny
| Soubory certifikátů |
Popis |
|---|---|
| AAACertificateServices.crt | Kořenový certifikát |
| USERTrustRSAAAACA.crt | Průběžný certifikát 1 |
| SSLcomDVCA_2.crt | Průběžný certifikát 2 |
| vaše_doména_zde.crt | Certifikát podepsaného serveru |
Instalace certifikátu pomocí Keytool
domain.key s názvem vašeho úložiště klíčů.Pomocí příkazu keytool importujte kořenové certifikáty následujícím způsobem (pomocí karet, na které lze kliknout, vyberte mezi pokyny pro kořeny SSL.com a kořeny USERTRUST:
Pomocí příkazu keytool importujte kořenový certifikát Certum takto:
keytool -import -trustcacerts -alias root1 -soubor CERTUM_TRUSTED_NETWORK_CA.crt -keystore domena.key
Stejný proces použijte pro kořenový certifikát SSL.com pomocí příkazu keytool (všimněte si, že alias se mírně liší od předchozího):
keytool -import -trustcacerts -alias root2 -soubor SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore doména.key
Dále nainstalujete zprostředkující certifikát:
keytool -import -trustcacerts -alias INTER -soubor SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Pomocí příkazu keytool importujte kořenový certifikát USERTRUST následujícím způsobem:
keytool -import -trustcacerts -alias root -soubor AAACertificateServices.crt -keystore domena.key
Stejný postup použijte pro první přechodný certifikát pomocí příkazu keytool:
keytool -import -trustcacerts -alias INTER1 -soubor USERTrustRSAAAACA.crt -keystore domena.key
Dále nainstalujete druhý zprostředkující certifikát (všimněte si, že alias se mírně liší od dříve):
keytool -import -trustcacerts -alias INTER2 -soubor SSLcomDVCA_2.crt -keystore domena.key
Stejný postup použijte pro certifikát webu pomocí příkazu keytool. Alias pro tento certifikát by se měl shodovat s aliasem, který jste použili při vytváření souboru CSR.
keytool -import -trustcacerts -alias yyy (kde yyy je alias zadaný během CSR vytvoření) -souborová doména.crt -klíčová doména.key
Heslo je pak vyžadováno:Enter keystore password: (Toto se používá během CSR tvorba)
O certifikátu SSL se zobrazí následující informace a budete dotázáni, zda mu chcete důvěřovat (výchozí hodnota je ne, zadejte tedy „y“ nebo „ano“):
Vlastník: CN = Root, O = Root, C = US Vydavatel: CN = Root, O = Root, C = US Sériové číslo: 111111111111 Platné od: Pá JAN 01 23:01:00 GMT 1990 do: Čt 01 JAN 23: 59:00 Otisky prstů GMT 2050: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Věřit tomuto certifikátu? [Ne]:
Poté se zobrazí následující informační zpráva:
Certifikát byl přidán do úložiště klíčů
Všechny certifikáty jsou nyní načteny a bude předložen správný kořenový certifikát.
