Tomcat: как создавать запросы на подпись (CSR) и устанавливать сертификаты

Когда вы подаете запрос на сертификат SSL, необходимо создать новый запрос на подпись сертификата (CSR) на вашем веб-сервере. CSR включает в себя открытый ключ, а также содержит ту же информацию, что и форма онлайн-запроса на вашем аккаунте. После проверки вашего запроса и выпуска сертификата, чтобы завершить процесс установки, загрузите и установите все предоставленные файлы.

Примечание. Ниже рассказано, как установить сертификат с помощью утилиты keytool. Для этого на сервере должен быть установлен инструмент Java 2 SDK 1.2 или более поздней версии.

Создание Keystore и CSR в Tomcat

Используя Keytool, выполните следующие шаги, чтобы создать keystore и CSR на своем сервере.

Создание Keystore и CSR в Tomcat

  1. Чтобы создать хранилище ключей (keystore), введите в утилите keytool следующую команду:
    keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
  2. Введите пароль. Пароль по умолчанию: changeit.
  3. Введите отличительную информацию:
    • Имя и фамилия — полное точное доменное имя, или URL-адрес, который вы защищаете. Если вы запрашиваете универсальный сертификат, добавьте звездочку (*) слева от общего имени, которого касается запрос, например, *.coolexample.com.
    • Подразделение — Дополнительно. Если необходимо, введите в это поле название DBA.
    • Организация — полное юридическое название вашей организации. Указанная организация должна быть законным регистрантом доменного имени в запросе сертификата. Если вы зарегистрированы как частный предприниматель, введите имя лица, подающего запрос сертификата, в поле Организация, и название DBA (зарегистрированное название организации) в поле Подразделение.
    • Город/населенный пункт — название города, в котором зарегистрирована/находится ваша организация — не используйте сокращения.
    • Область/республика/край — название области, республики или края, где находится ваша организация — не используйте сокращения.
    • Код страны — двухбуквенный код страны в формате Международной организации по стандартизации (ISO), обозначающий страну, где официально зарегистрирована ваша организация.
  4. Чтобы создать запрос на подпись сертификата (CSR), введите в утилите keytool следующую команду:
    keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
  5. Введите пароль, который вы вводили на Шаге 2.
  6. Откройте файл CSR и скопируйте весь текст, в том числе
    ---- BEGIN NEW CERTIFICATE REQUEST ----

    и

    ----END CERTIFICATE REQUEST----
  7. Вставьте весь текст в форму онлайн-запроса и подайте заявку.

Подробнее о заполнении формы-запроса, см. в статье Запрос сертификата SSL.

После подачи заявки, мы начинаем рассмотрение вашего запроса. По окончании этой процедуры, вы получите электронное сообщение с подробной информацией.

Установка SSL в Tomcat

После получения сертификата, загрузите его из Диспетчера сертификатов и поместите в ту же папку, где находится keystore. После этого, с помощью keytool, введите следующие команды, чтобы установить сертификаты.

Имена файлов для корневого каталога и промежуточных сертификатов зависят от алгоритма подписи.

  • Корневой сертификат SHA-1: gd_class2_root.crt
  • Корневой сертификат SHA-2: gdroot-g2.crt
  • Промежуточный сертификат SHA-1: gd.intermediate.crt
  • Промежуточный сертификат SHA-2: gdig2.crt
  • (только для Java 6/7) Корневой сертификат SHA-2: gdroot-g2_cross.crt
Внимание! Нельзя использовать сертификаты SSL, в которых применяется алгоритм SHA-1. Подробнее……

Можно также загружать сертификаты из репозиторий.

Установка SSL в Tomcat

  1. Установите корневой сертификат, запустив следующую команду:
    keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file [имя корневого сертификата]
  2. Установите промежуточный сертификат, запустив следующую команду:
    keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file [имя промежуточного сертификата]
  3. Установите полученный сертификат в keystore, запустив следующую команду:
    keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file [имя сертификата]
  4. Обновите файл server.xml, введя правильное размещение keystore в каталоге Tomcat.

    Примечание. HTTPS-коннектор по умолчанию закомментирован. Чтобы включить HTTPS, удалите теги комментариев.

    • Tomcat 4.x. Обновите следующие элементы в файле server.xml для Tomcat 4.x:
      clientAuth="false"
      protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
      keystorePass="changeit" />
    • Tomcat 5.x, 6.x и 7.x. Обновите следующие элементы в файле server.xml для Tomcat 5.x, 6.x и 7.x:
      -- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
      Connector 
                 port="8443" maxThreads="200"
                 scheme="https" secure="true" SSLEnabled="true"
                 keystoreFile="[path to your keystore file]" keystorePass="changeit"
                 clientAuth="false" sslProtocol="TLS"/>
  5. Сохраните изменения в файле server.xml, а затем перезапустите Tomcat, чтобы начать использование SSL. Ваш сертификат SSL установлен. Если возникнут проблемы, статья
    поможет вам в их диагностике.

Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.