Ce guide explique comment installer des certificats SSL sur un serveur Tomcat ou un autre serveur Java avec keytool, un outil en ligne de commande pour gérer les clés et les certificats dans un Java KeyStore.
Certificats racine et intermédiaire
Le bon fonctionnement d'un certificat de serveur dépend de la réussite de l'installation des certificats intermédiaires et racine. La chaîne de certificats SSL.com complète comprend généralement 4 fichiers (les anciennes racines USERTRUST utilisent également 4 fichiers):
Racines SSL.com
| Fichiers de certificat |
Description |
|---|---|
| CERTUM_TRUSTED_NETWORK_CA.crt | Certificat racine 1 |
| SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Certificat racine 2 |
| SSL_COM_RSA_SSL_SUBCA.crt | Certificat intermédiaire |
| votre_domaine_ici.crt | Certificat de serveur signé |
Racines de USERTRUST
| Fichiers de certificat |
Description |
|---|---|
| AAACertificateServices.crt | Certificat racine |
| USERTrustRSAAAACA.crt | Certificat intermédiaire 1 |
| SSLcomDVCA_2.crt | Certificat intermédiaire 2 |
| votre_domaine_ici.crt | Certificat de serveur signé |
Installation de certificat avec Keytool
domain.key avec votre nom de magasin de clés.Utilisez la commande keytool pour importer le ou les certificats racine comme suit (utilisez les onglets cliquables pour choisir entre les instructions pour les racines SSL.com et les racines USERTRUST:
Utilisez la commande keytool pour importer le certificat racine Certum comme suit:
keytool -import -trustcacerts -alias root1 -file CERTUM_TRUSTED_NETWORK_CA.crt -keystore domain.key
Utilisez le même processus pour le certificat racine SSL.com en utilisant la commande keytool (notez que l'alias est légèrement différent qu'avant):
keytool -import -trustcacerts -alias root2 -file SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
Ensuite, vous allez installer le certificat intermédiaire:
keytool -import -trustcacerts -alias INTER -fichier SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Utilisez la commande keytool pour importer le certificat racine USERTRUST comme suit:
keytool -import -trustcacerts -alias racine -fichier AAACertificateServices.crt -keystore domain.key
Utilisez le même processus pour le premier certificat intermédiaire à l'aide de la commande keytool:
keytool -import -trustcacerts -alias INTER1 -file USERTrustRSAAAACA.crt -keystore domain.key
Ensuite, vous allez installer le deuxième certificat intermédiaire (notez que l'alias est légèrement différent qu'avant):
keytool -import -trustcacerts -alias INTER2 -fichier SSLcomDVCA_2.crt -keystore domain.key
Utilisez le même processus pour le certificat de site à l'aide de la commande keytool. L'alias de ce certificat doit correspondre à l'alias que vous avez utilisé lors de la création du CSR.
keytool -import -trustcacerts -alias yyy (où yyy est l'alias spécifié pendant CSR creation) -fichier domain.crt -keystore domain.key
Le mot de passe est alors demandé:Enter keystore password: (C'est celui utilisé pendant CSR création)
Les informations suivantes seront affichées sur le certificat SSL et il vous sera demandé si vous souhaitez lui faire confiance (la valeur par défaut est non, alors tapez 'y' ou 'yes'):
Propriétaire: CN = Root, O = Root, C = US Issuer: CN = Root, O = Root, C = US Numéro de série: 111111111111 Valable du: Fri JAN 01 23:01:00 GMT 1990 au: Thu JAN 01 23: 59:00 GMT 2050 Empreintes du certificat: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Faire confiance à ce certificat? [non]:
Un message d'information s'affichera alors comme suit:
Le certificat a été ajouté au keystore
Tous les certificats sont maintenant chargés et le certificat racine correct sera présenté.
