Este como fazer ilustra como instalar certificados SSL em um Tomcat ou outro servidor baseado em Java com keytool
, uma ferramenta de linha de comando para gerenciar chaves e certificados em um Java KeyStore.
Certificados raiz e intermediários
O funcionamento adequado de um certificado de servidor depende da instalação bem-sucedida de certificados intermediários e raiz. A cadeia de certificados SSL.com completa normalmente inclui 4 arquivos (as raízes USERTRUST mais antigas também usam 4 arquivos):
Raízes SSL.com
Arquivos de certificado |
Descrição |
---|---|
CERTUM_TRUSTED_NETWORK_CA.crt | Certificado Raiz 1 |
SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Certificado Raiz 2 |
SSL_COM_RSA_SSL_SUBCA.crt | Certificado Intermediário |
seu_domínio_aqui.crt | Certificado de servidor assinado |
Raízes USERTRUST
Arquivos de certificado |
Descrição |
---|---|
AAACertificateServices.crt | Certificado raiz |
USERTrustRSAAAACA.crt | Certificado Intermediário 1 |
SSLcomDVCA_2.crt | Certificado Intermediário 2 |
seu_domínio_aqui.crt | Certificado de servidor assinado |
Instalação de certificado com o Keytool
domain.key
com o seu nome de keystore.Use o comando keytool para importar o (s) certificado (s) raiz da seguinte forma (use as guias clicáveis para selecionar entre as instruções para raízes SSL.com e raízes USERTRUST:
Use o comando keytool para importar o certificado raiz Certum da seguinte maneira:
keytool -import -trustcacerts -alias root1 -file CERTUM_TRUSTED_NETWORK_CA.crt -keystore domínio.key
Use o mesmo processo para o certificado raiz SSL.com usando o comando keytool (observe que o alias é um pouco diferente do anterior):
keytool -import -trustcacerts -alias root2 -file SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domínio.key
Em seguida, você instalará o certificado intermediário:
keytool -import -trustcacerts -alias INTER -file SSL_COM_RSA_SSL_SUBCA.crt -keystore domínio.key
Use o comando keytool para importar o certificado raiz USERTRUST da seguinte maneira:
keytool -import -trustcacerts -alias root -file AAACertificateServices.crt -keystore domínio.key
Use o mesmo processo para o primeiro certificado intermediário usando o comando keytool:
keytool -import -trustcacerts -alias INTER1 -file USERTrustRSAAAACA.crt -keystore domínio.key
Em seguida, você instalará o segundo certificado intermediário (observe que o alias é um pouco diferente do anterior):
keytool -import -trustcacerts -alias INTER2 -file SSLcomDVCA_2.crt -keystore domínio.key
Use o mesmo processo para o certificado do site usando o comando keytool. O alias para este certificado deve corresponder ao alias que você usou ao criar o CSR.
keytool -import -trustcacerts -alias yyy (onde yyy é o alias especificado durante CSR criação) -file domain.crt -keystore domain.key
A senha é solicitada:Enter keystore password:
(Esse é o usado durante CSR criação)
As seguintes informações serão exibidas sobre o certificado SSL e será perguntado se você deseja confiar nele (o padrão é não, então digite 'y' ou 'sim'):
Proprietário: CN = Raiz, O = Raiz, C = EUA Emissor: CN = Raiz, O = Raiz, C = EUA Número de série: 111111111111 Válido de: Sex JAN 01 23:01:00 GMT 1990 até: Qui JAN 01 23: 59:00 GMT 2050 Impressões digitais do certificado: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Confiar neste certificado? [não]:
Em seguida, uma mensagem informativa será exibida da seguinte maneira:
O certificado foi adicionado ao armazenamento de chaves
Todos os certificados estão agora carregados e o certificado raiz correto será apresentado.