CA가 서명한 SSL 인증서를 Tomcat 8에 설치하는 방법

CA가 서명한 SSL 인증서를 Tomcat 8에 설치하는 방법

CA에서 서명한 인증서가 2개 있습니다. 이 인증서를 사용하여 Tomcat에서 SSL을 활성화하고 싶습니다.

다음 명령을 실행하여 jks 파일을 만들고 인증서를 해당 jks 파일로 가져왔습니다.

1. keytool -genkey -alias bmark.com -keyalg RSA -keystore keystore.jks
2. keytool -import -alias root -keystore keystore.jks -trustcacerts -file b32dasd75493.crt
3. keytool -import -alias intermed -keystore keystore.jks -trustcacerts -file sf_bundle-g2-g1.crt

Tomcat의 server.xml에서 https를 활성화했습니다.

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/Users/test/Desktop/keystore.jks" keystorePass="changeme"/>

Tomcat을 시작하고 URL을 열었습니다.https://bmark.com:8080크롬에서는 CA 서명 SSL 인증서가 신뢰할 수 없으며 자체 서명되었다고 주장합니다. 이 파일 외에 다른 파일이 필요한가요? 이 문제를 어떻게 해결할 수 있나요?

답변1

CA 응답이 올바르게 설치되었는지 확인하려면 다음을 실행하세요.

keytool -list -keystore /Users/test/Desktop/keystore.jks -alias bmark.com -v

리프에서 루트까지 인증서 체인이 표시되어야 합니다.

커넥터 정의에서키 별칭이므로 발견된 첫 번째 인증서가 사용됩니다. 다음으로 변경하세요.

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/Users/test/Desktop/keystore.jks"
           keystorePass="changeme"
           keyAlias="bmark.com" />

또는 사용 중인 경우톰캣 8.5(그러면 안 된다톰캣 8.0을 사용하세요), 새 SSL 구성으로 전환합니다.

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" scheme="https" secure="true" SSLEnabled="true">
    <SSLHostConfig protocols="TLS">
        <Certificate certificateKeystoreFile="/Users/test/Desktop/keystore.jks"
                     certificateKeystorePassword="changeme"
                     certificateKeyAlias="bmark.com" />
    </SSLHostConfig>
</Connector>

편집하다: 세 가지 인증서를 모두 설치하려면 인증서와 줄기부터 루트까지 순서대로 중간 항목이 포함된 파일이 필요하며 다음을 실행합니다.

keytool -importcert -keystore /Users/test/Desktop/keystore.jks\
-alias bmark.com -file <chain_file> -trustcacerts

또는 뿌리부터 줄기까지 별도로 삽입할 수도 있습니다.

관련 정보