Tomcat SSL Administration on Windows

Download PDF

Introduktion

 

Ved bestilling af et SSL-certifikat kræves en Certificate Signing Request (CSR), denne genereres ud fra en privat nøgle.

 

Ønsker du selv at oprette den private nøgle, skal du generere CSR-filen, følg derfor Generering af CSR og derefter Installation af SSL certifikat.

 

Alternativt kan du vælge CSR-service ved bestillingen, der generere vi den private nøgle og CSR-filen og du modtager certifikat og nøgle sikkert som en samlet .PFX fil, følg derefter Installation via PFX fil.

 

Udover at installere certifikatet skal du sikre at HTTPS sektionen er aktiv i konfigurationen og anvender ønsket port, f.eks. 443.

 

Alle angivelser af stier tager udgangspunkt i en standard installation. Hvis jeres server er installeret anderledes skal du rette stierne.

 

For at finde hvilken version du har installeret, følg nedenstående:

 

  1. For at finde versionerne af OS, Tomcat og JVM kør følgende kommando:

 

c:\tomcat\bin\version.bat

 

 

  1. Opret en certificates mappe til certifikater og keystore filer:

 

mkdir c:\tomcat\certificates

 

 

Generering af CSR

 

I dette eksempel har vi anvendt et enkelt DNS-navn som virker både til standard og SAN certifikater, til et wildcard skal Common Name skiftes til *.fairssl.dk

 

For at gennemføre en bestilling og genereringen af CSR koden, har du brug for at samle følgende oplysninger til certifikatet:

 

  • Common Name (CN): Det primære fulde internet domænenavn. F.eks.: www.fairssl.dk
  • Organization Name (O): Det fulde gyldige firmanavn, præcis som det står i CVR. F.eks.: FairSSL ApS
  • Organizational Unit (OU): Afdelingen som skal bruge certifikatet. Må ikke kunne forveksles med et andet firma. Kan anbefales at efterlade den tom, eller at bruge firmanavnet. F.eks.: FairSSL ApS
  • Locality (L): Bynavn. F.eks.: Oerum Djurs
  • State (S): Stat eller kommune, i Danmark anvendes kommunen. F.eks.: Norddjurs
  • Country (C): ISO-standard to-bogstavs landekode, skal være store bogstaver. F.eks.: DK

 

Vær opmærksom på at Æ, Ø og Å ikke håndteres korrekt af Keytool, så lav dem om til AE, OE og AA.

 

Oprettelse af keystore

 

  1. Lav en keystore fil ved at køre følgende kommando:

Hvis du allerede har en keystore, kan du bruge stien til den med det password der hører til.

 

    • alias: Et navn der er let at huske i forhold til det website certifikatet skal bruges til, f.eks. DNS-navnet.
    • password: Her laver du et password til keystore filen, hvis du ikke taster noget bruger den default password: changeit

 

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -genkey -alias www.mydomain.dk -keyalg RSA -keysize 2048 -keystore c:\tomcat\certificates\keystore

 

Du skal nu bruge de informationer du samlede i Generering af CSR.

First and last name: her skal du taste Common Name.

ved Enter key password for er det vigtigt ikke at skrive noget, fordi Tomcat har brug for at passwordet er det samme på keystore og key.

 

 

Oprettelse af CSR

 

  1. For at oprette en CSR skal du bruge det alias du lavede da du oprettede din keystore.

Kør følgende kommando med det password der hører til keystore filen:

 

    • alias: det alias du vil bruge til at lave CSR-filen ud fra.
    • keystore: sti og navn på keystore filen.
    • file: sti og navn til der hvor du vil lave CSR-filen.

 

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -certreq -keyalg RSA -keysize 2048 -alias www.mydomain.dk -keystore c:\tomcat\certificates\keystore -file c:\tomcat\certificates\www.mydomain.dk.csr

 

 

  1. Åben CSR filen med din foretrukne teksteditor (f.eks notepad www.fairssl.dk.csr).

Kopier hele teksten, inkl. alle bindestreger før og efter.

Under certifikat bestillingen skal du indsætte teksten i CSR feltet.

følgende er et eksempel på en komplet CSR tekst:

 

 

Installation af SSL certifikat

 

  1. Importér mellemudsteder certifikatet ind i keystore filen:

 

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -import -alias root -keystore c:\tomcat\certificates\keystore -trustcacerts -file c:\tomcat\certificates\intermediate.crt

 

 

  1. Importér dit certifikat ind i keystore filen:

 

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -import -alias www.mydomain.dk -keystore c:\tomcat\certificates\keystore -file c:\tomcat\certificates\www.mydomain.dk.crt

 

 

  1. Genstart Tomcat servicen.

 

Installation via PFX fil

 

Tomcat 5+ understøtter anvendelse af PKCS#12 filer direkte i konfigurationen.

Hvis det ikke virker så følg Konvertering fra PFX til keystore, kræver JVM 1.6+

 

  1. Læg din PFX fil i c:\tomcat\certificates

 

  1. Åben server.xml filen med dit yndlings teksteditor f.eks.:

 

  1. notepad c:\tomcat\conf\server.xml

 

  1. Indtast nedenstående og korriger så de passer din server:

 

    • hostName: DNS-navnet til dit website.
    • certificateKeystoreFile: Stien til din PFX fil.
    • keystorePass: Det password der er til PFX filen, hvis CSR-service er brugt er koden sendt på SMS.

 

 

 

hostName="www.mydomain.dk"

maxThreads="200"

scheme="https"

secure="true"

SSLEnabled="true"

Protocols="TLSv1,TLSv1.1,TLSv1.2"

clientAuth="false">

 

keystorePass="MyPassWord"

keystoreType="PKCS12" />

 

 

 

 

  1. Genstart Tomcat servicen.

 

Konvertering fra PFX til keystore

 

  1. Har du en eksisterende keystore, gem den med følgende kommando:

 

move c:\tomcat\certificates\keystore c:\tomcat\certificates\keystore.bak

 

 

  1. Hvis du har brugt CSR-service vil alias være noget i stil med fairssl-2018, du kan selvfølgelig beholde alias som det er, men du kan også ændre det så det er lettere at huske hvad det er til.

Kør følgende kommando for at se hvilke alias som findes i PFX filen:

 

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -list -keystore c:\tomcat\certificates\www.mydomain.dk.pfx

 

 

  1. Importér nu PFX filen ind i den nye keystore med følgende kommando:

 

    • srckeystore: Stien til PFX filen.
    • srcalias: Det alias du fandt i punkt 2.
    • srcstorepass: Password til PFX filen, hvis CSR-service er brugt er koden sendt på SMS.
    • destkeystore: Stien til keystore filen.
    • destalias: Det alias du vil have i din keystore.
    • deststorepass: Det password du vil have på din keystore.
    • destkeypass: Det samme password som deststorepass.

 

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -importkeystore -srckeystore c:\tomcat\certificates\www.mydomain.dk.pfx -srcalias fairssl-2018 -srcstoretype PKCS12 -srcstorepass myPassword -destkeystore c:\tomcat\certificates\keystore -deststoretype JKS -destalias www.mydomain.dk -deststorepass keystorePassword -destkeypass keystorePassword

 

 

  1. Genstart Tomcat servicen.

 

Konfiguration af server.xml

 

  1. Åben server.xml filen med en teksteditor f.eks.:

 

notepad c:\tomcat\conf\server.xml

 

  1. Indtast nedenstående og korriger så de passer din server:

 

    • hostName: DNS-navnet til dit website.
    • certificateKeystoreFile: Stien til din keystore.
    • keystorePass: Det password du oprettede da du lavede keystore filen.

 

 

 

hostName="www.mydomain.dk"

maxThreads="200"

scheme="https"

secure="true"

SSLEnabled="true"

Protocols="TLSv1,TLSv1.1,TLSv1.2"

clientAuth="false">

 

keystorePass="MyPassWord"

keyAlias="www.mydomain.dk"

type="RSA" />

 

 

 

 

  1. Genstart Tomcat servicen.

 

Mellemudsteder certifikater

 

Mellemudstedercertifikater

Her kan du finde mellemudstedercertifikater fra de forskellige udstedere.

Vi anbefaler at du bruger det medsendte mellemudstedercertifikat, og kun henter herfra hvis du mister det, da det medsendte altid vil være det korrekte til det bestilte server certifikat.

 

Mellemudstedercertifikater