Установите подстановочный сертификат SSL GoDaddy на Tomcat 6
У меня есть подстановочный сертификат SSL, который был сгенерирован одним из наших Администраторов Сервера. Я хотел бы использовать копию для одного из наших субдоменов. Сделайте я должен пройти воссоздание файла CSR с помощью keytool. Как действительно просто импортируют эти 3 файла как показано ниже, к серверу?
- gd_bundle-g2-g1.crt
- gdig2.crt
- some_hex_string.crt
Вы пробовали , следуя процессу, описанному в документации?
Вот какие у вас файлы (источник: Репозиторий цепочки сертификатов GoDaddy )
- gd_bundle -g2-g1.crt : пакеты сертификатов Go Daddy - G2 с переходом на G1, включает корневой
- gdig2.crt : сертификат защищенного сервера Go Daddy (промежуточный сертификат) - G2
- some_hex_string.crt : Ваш сертификат
Перед тем, как начать, вы можете подтвердить, что именно все эти файлы от вашего администратора сервера, на всякий случай ...
Вам также понадобится закрытый ключ для сертификата с подстановочными знаками, если вы хотите установить его на своем сервере TomCat, если у вас еще нет закрытого ключа (например, если это обновление). Если это новая установка, вам определенно понадобится закрытый ключ.
Также имейте в виду, что keytool чрезвычайно беспощаден, а также очень глуп, когда дело касается сообщений об ошибках. Это введет вас в заблуждение бесполезными сообщениями об ошибках вроде
keytool error: java.lang.Exception: Failed to install chain from reply
То, что могло означать, так это то, что вам нужно явно указать размеры ключей и алгоритмы вручную (синтаксис и параметры см. в справке по keytool)
Практический совет: избегайте использования keytool, если в этом нет крайней необходимости или если вы не знаете его наизнанку. Скорее всего, это сведет вас с ума, если вы этого не знаете. Если вы плохо его знаете или застряли, я предлагаю использовать сторонний редактор хранилища ключей Java, например KeyStore Explorer или Portecle .
Совет №2: используйте nginx в качестве обратный прокси-сервер и загрузчик SSL для вашего сайта. SSL намного проще реализовать на nginx, и он позволит вашему экземпляру Tomcat сосредоточиться на доставке приложений, чего более чем достаточно, чтобы держать экземпляр Tomcat занятым. :) Кроме того, вы сможете настроить параметры SSL / TLS для достижения разумного результата в Qualys 'SSL Labs SSL Test . В наши дни, когда существует множество уязвимостей SSL, это неплохая идея ... Я не уверен, какова оценка конфигурации SSL Tomcat 6 по умолчанию в этом тесте.
Возможно, это поможет вам решить проблему: http://linuxadmin.com.pl/tomcat-and-ssl-certificates-small-how-to/
В любом случае, imho обработка ssl в tomcat довольно сложно. Вот почему я предпочитаю ставить Apache / Nginx «перед» Tomcat.
Для Tomcat 9 я создал клавиатуру формата PKCS12 согласно данной документации http://tomcat.apache.org/tomcat-9.0-doc/ssl-howto.html#Configuration. Так как у меня есть подписанный сертификат от GoDaddy, я импортировал необходимые сертификаты и ключ в клавиатуру PKCS12, выполнив следующую команду OpenSSL.
openssl pkcs12 -export -in mycert.crt -inkey mykey.key
-out mycert.p12 -name tomcat -CAfile myCA.crt
-caname root -chain
- mycert.crt -> это ваш сертификат, предоставленный GoDaddy (обычно это будет ваш GoDaddy серийный номер.crt)
- mykey. key -> ключ, созданный вместе с CSR.
- mycert.p12 -> Это будет Ваш ключевой файл.
- myCA.crt -> это Ваш корневой сертификат, предоставленный GoDaddy (в моем случае это был gd_bundle-g2-g1.crt.
После выполнения вышеуказанной команды, файл mycert.p12 будет сгенерирован в указанное Вами место.
Теперь настройте то же самое в вашем server.xml
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" keystoreFile="/your/path/mycert.p12" keystorePass="changeit" keyAlias="tomcat">
keyAlias="tomcat" это - имя, которое даётся при импорте клавиатуры PKCS12.
Сохраните файлы и перезапустите сервер.