Como instalar certificados SSL assinados pela CA no Tomcat 8

tag-icon tag-icon ssl ssl-certificate https tomcat
Como instalar certificados SSL assinados pela CA no Tomcat 8

Tenho 2 certificados assinados pela CA. Quero ativar o SSL no Tomcat usando esses certificados.

Executei os seguintes comandos para criar o arquivo jks e importei os certificados para esse arquivo jks.

1. keytool -genkey -alias bmark.com -keyalg RSA -keystore keystore.jks
2. keytool -import -alias root -keystore keystore.jks -trustcacerts -file b32dasd75493.crt
3. keytool -import -alias intermed -keystore keystore.jks -trustcacerts -file sf_bundle-g2-g1.crt

E habilitei https em server.xml do tomcat

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/Users/test/Desktop/keystore.jks" keystorePass="changeme"/>

Iniciou o Tomcat e abriu o URLhttps://bmark.com:8080no Chrome, mas afirma que o certificado SSL assinado pela CA não é confiável, afirma que é autoassinado. Preciso de outros arquivos além desses? Como posso resolver esse problema?

Responder1

Para verificar se a resposta da CA foi instalada corretamente, execute:

keytool -list -keystore /Users/test/Desktop/keystore.jks -alias bmark.com -v

Deve mostrar sua cadeia de certificados da folha à raiz.

Na definição do seu conector você não especificou oapelido de chave, portanto, o primeiro certificado encontrado será usado. Altere para:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/Users/test/Desktop/keystore.jks"
           keystorePass="changeme"
           keyAlias="bmark.com" />

ou, se você estiver usandoTomcat 8.5(você não deveriausar o Tomcat 8.0), mude para a nova configuração SSL:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" scheme="https" secure="true" SSLEnabled="true">
    <SSLHostConfig protocols="TLS">
        <Certificate certificateKeystoreFile="/Users/test/Desktop/keystore.jks"
                     certificateKeystorePassword="changeme"
                     certificateKeyAlias="bmark.com" />
    </SSLHostConfig>
</Connector>

Editar: Para instalar todos os três certificados você só precisa de um arquivo com seu certificado e os intermediários na ordem do tronco à raiz e executar:

keytool -importcert -keystore /Users/test/Desktop/keystore.jks\
-alias bmark.com -file <chain_file> -trustcacerts

ou você pode inserir separadamente da raiz ao caule.

informação relacionada