* Acessar um diretório repositório diferente do diretório de configuração do webserver para manipular os arquivos do certificado, por exemplo: cd /home/wildfly/CERTIFICADO. Caso não exista crie.
* Caso não for renovação pule para o Passo 2
* Copiar os arquivos cacerts.jks e keystore.jks para o diretório de manipulação
* Delete a entrada do alias que deseja renovar
# keytool -delete -alias <ALIAS>.dominio.com.br -keystore keystore.jks -storepass changeit
* Gerar chave privada e arquivo keystore:
# keytool -keysize 2048 -genkey -validity 1460 -alias <ALIAS>.dominio.com.br -keyalg RSA -dname "CN=<ALIAS>.dominio.com.br,O=<Empresa>,L=Curitiba,S=Parana,C=BR" -keypass changeit -storepass changeit -keystore <ALIAS>.keystore.jks
* Geração da nova requisição .csr:
# keytool -certreq -alias <ALIAS>.dominio.com.br -keyalg RSA -keystore <ALIAS>.keystore.jks -storepass changeit -keypass changeit -file <ALIAS>.2015.csr
* Visualize o conteúdo do arquivo e <ALIAS>.2015.csr e realizar o processamento do certificado na CA interna ou externa.
# cat <ALIAS>.2015.csr
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
* Requerer certificado da CA interna - http://<SERVERNAME>/certsrv/
* Colar o conteúdo do arquivo visto no passo 3 e gerar o certificado padrão webserver
* Após aprovação fazer o download do arquivo
OU ---------------------------------------------------------
* Requerer certificado da CA externa - https://br.godaddy.com/web-security/ssl-certificate
* Colar o conteúdo do arquivo visto no passo 3 e gerar o certificado parado webserver (IIS,Glassfish,WildFly,Apache,...)
* Após aprovação fazer o download do arquivo
CA interna
* Importar a cadeia de repositório SERVER-CA para cacerts e também o certificado recebido da CA para o keystore
# keytool -import -v -alias <SERVERNAME>.dominio.com.br -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file <SERVERNAME>.cer
# keytool -import -v -alias <SERVERNAME>.dominio.com.br -keystore cacerts.jks -trustcacerts -keypass changeit -storepass changeit -file <SERVERNAME>.cer
Trust this certificate? [no]: yes
Certificate was added to keystore
[Storing <ALIAS>.cacerts.jks]
# keytool -import -v -alias <ALIAS>.dominio.com.br -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file <ALIAS>.2015.cer
OU ---------------------------------------------------------
CA externa
* Importar a cadeia de repositório Godaddy e também o certificado recebido da CA para o keystore
* Baixar e instalar a cadeia de repositório GoDaddy e ValiCert caso não exista.
# wget https://certs.godaddy.com/repository/gd_intermediate.crt
# wget https://certs.godaddy.com/repository/gd_cross_intermediate.crt
# wget https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt
# keytool -import -v -alias gbbundleg2g1 -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_bundle-g2-g1.crt
# keytool -import -v -alias gbbundleg2g1 -keystore cacerts.jks -trustcacerts -keypass changeit -storepass changeit -file gd_bundle-g2-g1.crt
# keytool -import -v -alias root -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_bundle-g2-g1.crt
# keytool -import -v -alias cross -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_cross_intermediate.crt
# keytool -import -v -alias intermed -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file gd_intermediate.crt
Confiar neste certificado? [não]: sim
O certificado foi adicionado a área de armazenamento de chaves
[Armazenando cacerts.jks]
# keytool -import -v -alias <ALIAS>.dominio.com.br -keystore <ALIAS>.keystore.jks -trustcacerts -keypass changeit -storepass changeit -file 2c504f2efdb2b820.<ALIAS>.dominio.com.br.crt
* Ajustar as permissões dos arquivos
# chmod 600 /home/wildfly/CERTIFICADO/*
* Copiar para o diretorio /home/wildfly/standalone/configuration os arquivos .jks
* Reiniciar o serviço Webserver
* Visualize o conteúdo do arquivo do certificado e copie o conteúdo
# cat tls/myCert.pem
* No servidor que irá utilizar o certificado, crie arquivo com o conteúdo visualizado anteriormente
# vi certificado.pem
* Importando o certificado para dentro da JRE
# keytool -import -v -alias <ALIAS> -keystore /usr/lib/jvm/java-8-oracle/jre/lib/security/cacerts -file certificado.pem -storepass changeit
Trust this certificate? [no]: yes