Este tutorial ilustra cómo instalar certificados SSL en un Tomcat u otro servidor basado en Java con keytool
, una herramienta de línea de comandos para administrar claves y certificados en un Java KeyStore.
Certificados de raíz e intermedios
El funcionamiento adecuado de un certificado de servidor depende de la instalación exitosa de los certificados intermedios y raíz. La cadena completa de certificados SSL.com generalmente incluye 4 archivos (las raíces de USERTRUST más antiguas también usan 4 archivos):
Raíces de SSL.com
Archivos de certificado |
Descripción |
---|---|
CERTUM_TRUSTED_NETWORK_CA.crt | Certificado de raíz 1 |
SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Certificado de raíz 2 |
SSL_COM_RSA_SSL_SUBCA.crt | Certificado intermedio |
su_dominio_aquí.crt | Certificado de servidor firmado |
Raíces de la confianza del usuario
Archivos de certificado |
Descripción |
---|---|
AAACertificateServices.crt | Certificado de raíz |
USUARIOTrustRSAAAACA.crt | Certificado Intermedio 1 |
SSLcomDVCA_2.crt | Certificado Intermedio 2 |
su_dominio_aquí.crt | Certificado de servidor firmado |
Instalación de certificados con Keytool
domain.key
con tu nombre de almacén de claves.Use el comando keytool para importar los certificados raíz de la siguiente manera (use las pestañas en las que se puede hacer clic para seleccionar entre las instrucciones para las raíces SSL.com y las raíces USERTRUST:
Use el comando keytool para importar el certificado raíz de Certum de la siguiente manera:
keytool -import -trustcacerts -alias root1 -file CERTUM_TRUSTED_NETWORK_CA.crt -keystore dominio.key
Utilice el mismo proceso para el certificado raíz SSL.com con el comando keytool (observe que el alias es ligeramente diferente al anterior):
keytool -import -trustcacerts -alias root2 -file SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore dominio.key
A continuación, instalará el certificado intermedio:
keytool -import -trustcacerts -alias INTER -file SSL_COM_RSA_SSL_SUBCA.crt -keystore dominio.key
Use el comando keytool para importar el certificado raíz USERTRUST de la siguiente manera:
keytool -import -trustcacerts -alias root -file AAACertificateServices.crt -keystore dominio.key
Use el mismo proceso para el primer certificado intermedio con el comando keytool:
keytool -import -trustcacerts -alias INTER1 -file USERTrustRSAAAACA.crt -keystore dominio.key
A continuación, instalará el segundo certificado intermedio (observe que el alias es ligeramente diferente al anterior):
keytool -importación -trustcacerts -alias INTER2 -archivo SSLcomDVCA_2.crt -keystore dominio.clave
Utilice el mismo proceso para el certificado del sitio con el comando keytool. El alias de este certificado debe coincidir con el alias que usó al crear el CSR.
keytool -import -trustcacerts -alias yyy (donde yyy es el alias especificado durante CSR creación) -file dominio.crt -keystore dominio.key
Luego se solicita la contraseña:Enter keystore password:
(Este es el usado durante CSR creación)
Se mostrará la siguiente información sobre el certificado ssl y se le preguntará si desea confiar en él (el valor predeterminado es no, así que escriba 'y' o 'sí'):
Propietario: CN = Root, O = Root, C = US Emisor: CN = Root, O = Root, C = US Número de serie: 111111111111 Válido desde: Fri JAN 01 23:01:00 GMT 1990 hasta: Thu JAN 01 23: 59:00 GMT 2050 Huellas digitales del certificado: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 ¿Confía en este certificado? [No]:
Luego aparecerá un mensaje de información de la siguiente manera:
El certificado fue agregado al almacén de claves
Todos los certificados ya están cargados y se presentará el certificado raíz correcto.