Deze uitleg illustreert hoe u SSL-certificaten installeert op een Tomcat of een andere op Java gebaseerde server keytool
, een opdrachtregelprogramma voor het beheren van sleutels en certificaten in een Java KeyStore.
Root- en tussencertificaten
De goede werking van een servercertificaat hangt af van de succesvolle installatie van tussenliggende en rootcertificaten. De volledige SSL.com-certificaatketen bevat doorgaans 4 bestanden (de oudere USERTRUST-roots gebruiken ook 4 bestanden):
SSL.com-roots
Certificaatbestanden |
Beschrijving |
---|---|
CERTUM_TRUSTED_NETWORK_CA.crt | Root 1-certificaat |
SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Root 2-certificaat |
SSL_COM_RSA_SSL_SUBCA.crt | Gemiddeld certificaat |
uw_domein_hier.crt | Ondertekend servercertificaat |
USERTRUST-wortels
Certificaatbestanden |
Beschrijving |
---|---|
AAACertificateServices.crt | Root-certificaat |
GEBRUIKERrustRSAAAACA.crt | Tussencertificaat 1 |
SSLcomDVCA_2.crt | Tussencertificaat 2 |
uw_domein_hier.crt | Ondertekend servercertificaat |
Certificaatinstallatie met Keytool
domain.key
met uw keystore-naam.Gebruik de keytool-opdracht om de rootcertificaten als volgt te importeren (gebruik de klikbare tabbladen om te kiezen tussen instructies voor SSL.com-roots en USERTRUST-roots:
Gebruik de keytool-opdracht om het Certum-rootcertificaat als volgt te importeren:
keytool -import -trustcacerts -alias root1 -bestand CERTUM_TRUSTED_NETWORK_CA.crt -keystore domain.key
Gebruik hetzelfde proces voor het SSL.com-rootcertificaat met behulp van de keytool-opdracht (merk op dat de alias iets anders is dan voorheen):
keytool -import -trustcacerts -alias root2 -bestand SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
Vervolgens installeert u het tussenliggende certificaat:
keytool -import -trustcacerts -alias INTER -bestand SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Gebruik de keytool-opdracht om het USERTRUST-rootcertificaat als volgt te importeren:
keytool -import -trustcacerts -alias root -bestand AAACertificateServices.crt -keystore domain.key
Gebruik hetzelfde proces voor het eerste tussenliggende certificaat met behulp van de keytool-opdracht:
keytool -import -trustcacerts -alias INTER1 -bestand USERTrustRSAAAACA.crt -keystore domain.key
Vervolgens installeer je het tweede tussencertificaat (merk op dat de alias iets anders is dan voorheen):
keytool -import -trustcacerts -alias INTER2 -bestand SSLcomDVCA_2.crt -keystore domain.key
Gebruik hetzelfde proces voor het sitecertificaat met de opdracht keytool. De alias voor dit certificaat moet overeenkomen met de alias die u hebt gebruikt bij het maken van het CSR.
keytool -import -trustcacerts -alias yyy (waarbij yyy de alias is die is opgegeven tijdens CSR creatie) -bestand domein.crt -keystore domein.key
Het wachtwoord wordt dan gevraagd:Enter keystore password:
(Dit is degene die wordt gebruikt tijdens CSR creatie)
De volgende informatie wordt weergegeven over het ssl-certificaat en u wordt gevraagd of u het wilt vertrouwen (de standaard is nee, dus typ 'y' of 'ja'):
Eigenaar: CN = Root, O = Root, C = US Emittent: CN = Root, O = Root, C = US Serienummer: 111111111111 Geldig van: vr. JAN 01 23:01:00 GMT 1990 tot: do JAN 01 23: 59:00 GMT 2050 Vingerafdrukken van certificaten: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Dit certificaat vertrouwen? [Nee]:
Vervolgens wordt een informatiebericht als volgt weergegeven:
Certificaat is toegevoegd aan keystore
Alle certificaten zijn nu geladen en het juiste rootcertificaat wordt gepresenteerd.