Keytool

SSL para WILDFLY e Glassfish

* Acessar um diretório repositório diferente do diretório de configuração do webserver para manipular os arquivos do certificado, por exemplo: cd /home/wildfly/CERTIFICADO. Caso não exista crie.

Passo 1 - Renovação

* Caso não for renovação pule para o Passo 2

* Copiar os arquivos cacerts.jks e keystore.jks para o diretório de manipulação

* Delete a entrada do alias que deseja renovar

# keytool -delete -alias <ALIAS>.dominio.com.br -keystore keystore.jks -storepass changeit

Passo 2 - Criação

* Gerar chave privada e arquivo keystore:

# keytool -keysize 2048 -genkey -validity 1460 -alias <ALIAS>.dominio.com.br -keyalg RSA -dname "CN=<ALIAS>.dominio.com.br,O=<Empresa>,L=Curitiba,S=Parana,C=BR" -keypass changeit -storepass changeit -keystore <ALIAS>.keystore.jks

Passo 3 - Geração do CSR

* Geração da nova requisição .csr:

# keytool -certreq -alias <ALIAS>.dominio.com.br -keyalg RSA -keystore <ALIAS>.keystore.jks -storepass changeit -keypass changeit -file <ALIAS>.2015.csr

* Visualize o conteúdo do arquivo e <ALIAS>.2015.csr e realizar o processamento do certificado na CA interna ou externa.

# cat <ALIAS>.2015.csr

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Passo 4 - Publicação na CA

* Requerer certificado da CA interna - http://<SERVERNAME>/certsrv/

* Colar o conteúdo do arquivo visto no passo 3 e gerar o certificado padrão webserver

* Após aprovação fazer o download do arquivo

OU ---------------------------------------------------------

* Requerer certificado da CA externa - https://br.godaddy.com/web-security/ssl-certificate

* Colar o conteúdo do arquivo visto no passo 3 e gerar o certificado parado webserver (IIS,Glassfish,WildFly,Apache,...)

* Após aprovação fazer o download do arquivo

Passo 5 - Certificado (CER/CRT)

CA interna

* Importar a cadeia de repositório SERVER-CA para cacerts e também o certificado recebido da CA para o keystore

# keytool -import -v -alias <SERVERNAME>.dominio.com.br -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file <SERVERNAME>.cer

# keytool -import -v -alias <SERVERNAME>.dominio.com.br -keystore cacerts.jks -trustcacerts -keypass changeit -storepass changeit -file <SERVERNAME>.cer

Trust this certificate? [no]: yes

Certificate was added to keystore

[Storing <ALIAS>.cacerts.jks]

# keytool -import -v -alias <ALIAS>.dominio.com.br -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file <ALIAS>.2015.cer

OU ---------------------------------------------------------

CA externa

* Importar a cadeia de repositório Godaddy e também o certificado recebido da CA para o keystore

* Baixar e instalar a cadeia de repositório GoDaddy e ValiCert caso não exista.

# wget https://certs.godaddy.com/repository/gd_intermediate.crt

# wget https://certs.godaddy.com/repository/gd_cross_intermediate.crt

# wget https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt

# keytool -import -v -alias gbbundleg2g1 -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_bundle-g2-g1.crt

# keytool -import -v -alias gbbundleg2g1 -keystore cacerts.jks -trustcacerts -keypass changeit -storepass changeit -file gd_bundle-g2-g1.crt

# keytool -import -v -alias root -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_bundle-g2-g1.crt

# keytool -import -v -alias cross -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_cross_intermediate.crt

# keytool -import -v -alias intermed -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_intermediate.crt

Confiar neste certificado? [nÃ£o]: sim

O certificado foi adicionado a área de armazenamento de chaves

[Armazenando cacerts.jks]

# keytool -import -v -alias <ALIAS>.dominio.com.br -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file 2c504f2efdb2b820.<ALIAS>.dominio.com.br.crt

Passo 6 - Configurar Webserver

* Ajustar as permissões dos arquivos

# chmod 600 /home/wildfly/CERTIFICADO/*

* Copiar para o diretorio /home/wildfly/standalone/configuration os arquivos .jks

* Reiniciar o serviço Webserver

Importando Certificado do Samba para a JRE

* Visualize o conteúdo do arquivo do certificado e copie o conteúdo

# cat tls/myCert.pem

* No servidor que irá utilizar o certificado, crie arquivo com o conteúdo visualizado anteriormente

# vi certificado.pem

* Importando o certificado para dentro da JRE

# keytool -import -v -alias <ALIAS> -keystore /usr/lib/jvm/java-8-oracle/jre/lib/security/cacerts -file certificado.pem -storepass changeit

Trust this certificate? [no]: yes

Teste Certificado

SSLShopper

Page updated

Google Sites

Report abuse