SSL сертификат для Tomcat based веб сервера, запрос и установка. На примере Jira или Confluence.

1. Создание хранилища ключей и закрытого ключа

Заходим на сервер где развернут Confluence. Веб-сервером для него служит Tomcat на Java, у которой свое представление о ключах и сертификатах =)

Для начала нужно сгенерировать закрытый ключ и само хранилище ключей, в которое будем записывать подписанный сертификат и все сопутствующие ему.

Делается это командой:

keytool -genkey -keyalg RSA -keysize 2048 -keystore comodonew.jks

где comodone.jks имя нового хранилища ключей. Может быть любым. При создании хранилища ключей понадобится придумать пароль для него.

При выполнении команды утилита keytool спросит всю нужную информацию, не ошибитесь на What is your first and last name?, надо указать имя домена, для которого будем просить сертификат.

2. Создание CSR (Certificate Signing Request)

Trust-провайдеру в любом случае понадобится такой запрос.

Создается он командой:

keytool -certreq -keyalg RSA -file comodonew.csr -keystore comodonew.jks

(имя файла может быть любым, хранилище указываете ваше, из 1-го пункта)

Открываем созданный файл любым редактором и отправляем весь текст провайдеру.

3. Установка подписанного сертификата

После нашего запроса и проверки, что владелец домена именно мы (обычно, шлют письмо на admin@yourdomain) нам пришлют все необходимые сертификаты для установки.

В случае с Comodo и Positive Multidomain SSL сертификатами мы имеем 4 сертификата:

19373675repl_2.crt — наш подписанный сертификат

AddTrustExternalCARoot.crt — корневой сертификат

COMODORSAAddTrustCA.crt и COMODORSADomainValidationSecureServerCA.crt — промежуточные сертификаты.

Для корректной установки добавлять сертификаты в хранилище нужно в правильном порядке (порядок нужно узнать у Trust-провайдера).

В случае с Comodo:

3.1 Импортируем корневой сертификат:

keytool -import -trustcacerts -alias AddTrustExternalCARoot -file AddTrustExternalCARoot.crt -keystore comodonew.jks

(алиас может быть любым)

3.2 Импортируем промежуточные сертификаты:

keytool -import -trustcacerts -alias COMODORSAAddTrustCA -file COMODORSAAddTrustCA.crt -keystore comodonew.jks

и

keytool -import -trustcacerts -alias COMODORSADomainValidationSecureServerCA -file COMODORSADomainValidationSecureServerCA.crt -keystore comodonew.jks

3.3 Импортируем подписанный личный сертификат:

keytool -import -trustcacerts -alias mykey -file 19373675repl_2.crt -keystore comodonew.jks

Алиас очень важен, если вы при создании ключа его указали, то пишите его. В данном примере он дефолтный — mykey. Что еще важно — ответ после выполнения команды должен быть Certificate reply was installed in keystore, что-то другое означает что где-то в процессе установки допущена ошибка и ничего не заработает.

 

4. Конфигурация Tomcat.

Конфигурация веб сервера находится по адресу Confluence\conf\server.xml

Конфиг выглядит следующим образом:

<Connector port="443" address="IP_вашего_сервера" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" SSLEnabled="true"
URIEncoding="UTF-8" keystoreType="JKS" keyAlias="mykey" keystoreFile="D:\Program Files\Atlassian\Confluence\conf\comodonew.jks" keystorePass="********"/>

Особое внимание на выделенные места, указывайте правильный алиас, путь до хранилища и пароль к нему.

5. Перезапускаем сервис, наслаждаемся =)

0

Добавить комментарий

Ваш e-mail не будет опубликован.