Questa guida illustra come installare i certificati SSL su un Tomcat o un altro server basato su Java con keytool, uno strumento da riga di comando per la gestione di chiavi e certificati in un KeyStore Java.
Certificati di root e intermedi
Il corretto funzionamento di un certificato del server dipende dalla corretta installazione dei certificati intermedi e radice. La catena di certificati SSL.com completa in genere include 4 file (anche le radici USERTRUST precedenti utilizzano 4 file):
SSL.com radici
| File di certificato |
Descrizione |
|---|---|
| CERTUM_TRUSTED_NETWORK_CA.crt | Certificato radice 1 |
| SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Certificato radice 2 |
| SSL_COM_RSA_SSL_SUBCA.crt | Certificato intermedio |
| tuo_dominio_qui.crt | Certificato del server firmato |
Radici USERTRUST
| File di certificato |
Descrizione |
|---|---|
| AAACertificateServices.crt | Certificato di radice |
| UTENTETrustRSAAAACA.crt | Certificato intermedio 1 |
| SSLcomDVCA_2.crt | Certificato intermedio 2 |
| tuo_dominio_qui.crt | Certificato del server firmato |
Installazione del certificato con Keytool
domain.key con il nome del tuo keystore.Utilizzare il comando keytool per importare i certificati radice come segue (utilizzare le schede cliccabili per selezionare tra le istruzioni per le radici SSL.com e le radici USERTRUST:
Utilizzare il comando keytool per importare il certificato radice Certum come segue:
keytool -import -trustcacerts -alias root1 -file CERTUM_TRUSTED_NETWORK_CA.crt -keystore dominio.key
Utilizzare la stessa procedura per il certificato radice SSL.com utilizzando il comando keytool (notare che l'alias è leggermente diverso da prima):
keytool -import -trustcacerts -alias root2 -file SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
Successivamente, installerai il certificato intermedio:
keytool -import -trustcacerts -alias INTER -file SSL_COM_RSA_SSL_SUBCA.crt -keystore dominio.key
Utilizzare il comando keytool per importare il certificato radice USERTRUST come segue:
keytool -import -trustcacerts -alias root -file AAACertificateServices.crt -keystore domain.key
Utilizzare lo stesso processo per il primo certificato intermedio utilizzando il comando keytool:
keytool -import -trustcacerts -alias INTER1 -file USERTrustRSAAAACA.crt -keystore dominio.key
Successivamente, installerai il secondo certificato intermedio (nota che l'alias è leggermente diverso da prima):
keytool -import -trustcacerts -alias INTER2 -file SSLcomDVCA_2.crt -keystore dominio.key
Utilizzare lo stesso processo per il certificato del sito utilizzando il comando keytool. L'alias per questo certificato deve corrispondere all'alias utilizzato durante la creazione del file CSR.
keytool -import -trustcacerts -alias yyy (dove yyy è l'alias specificato durante CSR creazione) -file domain.crt -keystore domain.key
Viene quindi richiesta la password:Enter keystore password: (Questo è quello usato durante CSR creazione)
Verranno visualizzate le seguenti informazioni sul certificato ssl e ti verrà chiesto se vuoi considerarlo attendibile (l'impostazione predefinita è no, quindi digita "y" o "sì"):
Proprietario: CN = Root, O = Root, C = US Issuer: CN = Root, O = Root, C = US Numero di serie: 111111111111 Valido da: Fri JAN 01 23:01:00 GMT 1990 fino a: Thu JAN 01 23: 59:00 GMT 2050 Impronte digitali del certificato: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Ti fidi di questo certificato? [no]:
Quindi verrà visualizzato un messaggio informativo come segue:
Il certificato è stato aggiunto al keystore
Tutti i certificati vengono ora caricati e verrà presentato il certificato radice corretto.
