SSL-Zertifikat für Tomcat erstellen
Ein SSL-Zertifikat für einen Tomcat-Server unter einer Microsoft CA zu erstellen, ist nicht ganz einfach. Deswegen hier ne kleine Gedächtnisstütze…
Das „keytool“ stammt aus dem JRE. „certreq“ ist ein Windowstool.
- Erstellen des Private-Keys
keytool -genkeypair -keysize 2048 -keyalg RSA -alias tomcat -keystore servername_beispiel_de.key [-ext san=xxx:servername.beispiel.de]
Über „-ext“ kann man dabei weitere Domainnamen oder IPs für das Zertifikat angeben. Das kann genutzt werden um Server sowohl mit Rechnernamen, als auch FQDN erreichbar zu machen, ohne ein Zertifikatsfehler zu erhalten. Zum Beispiel:
-ext san=dns:servername.beispiel.de -ext san=ip:192.168.10.200
Wenn nach „First and last name“ gefragt wird, ist hierbei der erste Domainname (z. B. servername.beispiel.de) einzugeben!
- Erstellen das Certificate Signing Request (CSR)
keytool -certreq -alias tomcat -keyalg RSA -file servername_beispiel_de.csr -keystore servername_beispiel_de.key
- Certificate Signing Request von der CA signieren lassen
certreq -submit -attrib "CertificateTemplate: WebServer" servername_beispiel_de.csr servername_beispiel_de.cer
- Importieren der Zertifikate in den Keystore
Vor dem Import des neuen Zertifikats muss unbedingt das Zertifikat der CA importiert werden. Ansonsten werden die Browser höchstwahrscheinlich Fehler melden!
keytool -import -alias rootca -trustcacerts -file ca.cer -keystore servername_beispiel_de.key keytool -import -alias tomcat -trustcacerts -file servername_beispiel_de.cer -keystore servername_beispiel_de.key
- [OPTIONAL] Anzeigen des Inhalts des Keystores
keytool -list -keystore servername_beispiel_de.key
Schreibe einen Kommentar