CA によって署名された SSL 証明書を Tomcat 8 にインストールする方法

CA によって署名された SSL 証明書を Tomcat 8 にインストールする方法

CA によって署名された証明書が 2 つあります。これらの証明書を使用して、Tomcat で SSL を有効にしたいと考えています。

次のコマンドを実行して jks ファイルを作成し、その jks ファイルに証明書をインポートしました。

1. keytool -genkey -alias bmark.com -keyalg RSA -keystore keystore.jks
2. keytool -import -alias root -keystore keystore.jks -trustcacerts -file b32dasd75493.crt
3. keytool -import -alias intermed -keystore keystore.jks -trustcacerts -file sf_bundle-g2-g1.crt

そして、Tomcatのserver.xmlでhttpsを有効にしました

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/Users/test/Desktop/keystore.jks" keystorePass="changeme"/>

tomcatを起動し、URLを開きましたhttps://bmark.com:8080Chrome では、CA 署名の SSL 証明書は信頼できないと表示され、自己署名されていると表示されます。これら以外に必要なファイルはありますか? この問題を解決するにはどうすればよいですか?

答え1

CA 応答が正しくインストールされたかどうかを確認するには、次を実行します。

keytool -list -keystore /Users/test/Desktop/keystore.jks -alias bmark.com -v

リーフからルートまでの証明書チェーンが表示されます。

コネクタ定義で、キーエイリアス最初に見つかった証明書が使用されます。次のように変更します。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/Users/test/Desktop/keystore.jks"
           keystorePass="changeme"
           keyAlias="bmark.com" />

または、トムキャット8.5(そうすべきではないTomcat 8.0を使用する)、新しい SSL 構成に切り替えます。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" scheme="https" secure="true" SSLEnabled="true">
    <SSLHostConfig protocols="TLS">
        <Certificate certificateKeystoreFile="/Users/test/Desktop/keystore.jks"
                     certificateKeystorePassword="changeme"
                     certificateKeyAlias="bmark.com" />
    </SSLHostConfig>
</Connector>

編集: 3 つの証明書をすべてインストールするには、証明書と中間証明書を幹からルートの順に並べたファイルを用意し、次のコマンドを実行します。

keytool -importcert -keystore /Users/test/Desktop/keystore.jks\
-alias bmark.com -file <chain_file> -trustcacerts

または、根から茎まで別々に挿入することもできます。

関連情報