Tomcat: створення запитів на підписування сертифіката (CSR) і інсталяція сертифікатів

Коли ви подаєте запит на сертифікат SSL, потрібно створити новий запит на підписування сертифіката (CSR) на вашому веб-сервері. CSR включає в себе відкритий ключ, а також має містити ту ж саму інформацію, що й форма онлайн-запиту на вашому акаунті. Після перевірки вашого запиту і надання сертифікату, щоб завершити процес встановлення, завантажте і встановіть усі надані файли.

Примітка. Далі описано, як інсталювати сертифікат за допомогою засобу keytool, тому на сервері потрібно інсталювати Java 2 SDK 1.2 або пізнішої версії.

Створення сховища ключів та CSR в Tomcat

Використовуючи Keytool, виконайте наступні кроки, щоб створити сховище ключів та CSR на своєму сервері.

Створення сховища ключів та CSR в Tomcat

  1. Щоб створити сховище ключів, введіть у keytool таку команду:
    keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
  2. Введіть Пароль. За промовчанням changeit.
  3. Введіть Відмітна інформація:
    • Ім'я та прізвище — повністю кваліфіковане доменне ім'я, або URL, яке ви захищаєте Якщо ви надсилаєте запит на універсальний сертифікат, додайте зірочку (*) зліва від загального імені, за яким ви надсилаєте запит, наприклад, *.coolexample.com.
    • Підрозділ організаціїНеобов'язково. Якщо потрібно, введіть в даному полі назву DBA.
    • Організація — повна юридична назва вашої організації. Вказана організація повинна бути законним реєстрантом доменного імені в запиті на сертифікат. Якщо ви зареєстровані як приватний підприємець, введіть ім'я особи, яка подає запит на сертифікат Організація, та назву бізнесу (DBA) в полі Підрозділ організації.
    • Місто/населений пункт: — назва міста, в якому зареєстрована/знаходиться ваша організація — не скорочувати.
    • Штат/провінція: — назва штату чи провінції, в якій міститься ваша організація — не скорочувати.
    • Код країни: код країни, в якій офіційно зареєстрована ваша організація, у форматі ISO (Міжнародна організація зі стандартизації) з двох літер.
  4. Щоб створити CSR, у keytool введіть таку команду:
    keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
  5. Введіть Пароль , який ви вводили, виконуючи Крок 2.
  6. Відкрийте файл CSR і скопіюйте весь текст, в тому числі
    ----BEGIN NEW CERTIFICATE REQUEST----

    та

    ----END CERTIFICATE REQUEST----
  7. Вставте весь текст у форму онлайн-запиту и подайте заявку.

Для отримання більш детальної інформації щодо заповнення форми онлайн-запиту, див. Запит сертифіката SSL.

Після подачі заявки ми починаємо розгляд вашого запиту. Після закінчення цієї процедури ви отримаєте листа з детальною інформацією.

Інсталювання SSL в Tomcat

Після отримання сертифікату завантажте його з Диспетчера сертифікатів і помістіть в ту ж саму папку, де міститься keystore. Після цього, за допомогою keytool, введіть такі команди, щоб встановити сертифікати.

Імена файлів для кореневого каталогу та проміжних сертифікатів залежать від алгоритму підпису.

  • Кореневий сертифікат SHA-1: gd_class2_root.crt
  • Кореневий сертифікат SHA-2: gdroot-g2.crt
  • Проміжний сертифікат SHA-1: gd.intermediate.crt
  • Проміжний сертифікат SHA-2: gdig2.crt
  • (лише для Java 6/7) Кореневий сертифікат SHA-2: gdroot-g2_cross.crt
Увага! Не використовуйте сертифікати SSL, що застосовують алгоритм SHA-1 (докладніше).

Можна також завантажувати сертифікати з репозиторій.

Встановлення SSL в Tomcat

  1. Інсталюйте кореневий сертифікат, виконавши таку команду:
    keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file [ім’я кореневого сертифіката]
  2. Інсталюйте проміжний сертифікат, запустивши таку команду:
    keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file [ім’я_проміжного_сертифіката]
  3. Інсталюйте отриманий сертифікат у сховищі сертифікатів, виконавши таку команду:
    keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file [ім’я сертифіката]
  4. Оновіть файл server.xml, ввівши правильне розміщення сховища ключів у каталозі Tomcat.

    Примітка. HTTPS-з’єднувач коментується за замовчуванням. Щоб увімкнути HTTPS, видаліть теги коментарів.

    • Tomcat 4.x. Оновіть такі елементи у файлі server.xml для Tomcat 4.x:
      clientAuth="false"
      protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
      keystorePass="changeit" />
    • Tomcat 5.x, 6.x та 7.x. Оновіть такі елементи у файлі server.xml для Tomcat 5.x, 6.x і 7.x:
      -- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
      Connector 
                 port="8443" maxThreads="200"
                 scheme="https" secure="true" SSLEnabled="true"
                 keystoreFile="[шлях до файлу сховища ключів]" keystorePass="changeit"
                 clientAuth="false" sslProtocol="TLS"/>
  5. Збережіть зміни у файлі server.xml, а потім перезапустіть Tomcat, щоб почати використання SSL. Ваш сертифікат SSL інстальовано. Якщо виникнуть проблеми, стаття
    допоможе вам у їх діагностуванні.

Чи була ця стаття корисною?
Дякуємо за ваш відгук. Щоб звернутися до представника служби підтримки, скористайтеся телефонним номером або чатом (див. вище).
Ми раді, що змогли допомогти! Що ще ми можемо для вас зробити?
Нам дуже прикро. Повідомте нам, що викликало замішання або чому рішення не усунуло вашу проблему.