Server Support Forum
Tomcat mit SSL Zertifikat ausstatten

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 25.07.2017, 13:28
Benutzerbild von stefan-becker
stefan-becker stefan-becker ist offline
Registered User
 
Registriert seit: 06.2007
Beiträge: 453
Tomcat mit SSL Zertifikat ausstatten

Hallo zusammen,

ich breche hier gerade zusammen. Ich möchte meinen Tomcat mit einem CA signierten Zertifikat ausstatten.

Hierzu habe ich einen Keystore angelegt:
Code:
keytool -genkey -keyalg RSA -keystore eakte.keystore
Dann einen CSR erstellt:
Code:
keytool -certreq -keyalg RSA -file eakte.csr -keystore eakte.keystore
Und diesen an die CA geschickt. Von dort habe ich dann vier CRT Files bekommen:
  • AddTrustExternalCARoot.crt
  • COMODORSAAddTrustCA.crt
  • COMODORSAOrganizationValidationSecureServerCA.crt
  • eakte_example_com.crt

Dann habe ich die Zertifikate nach der Reihe in den Keystore geschoben, mit
Code:
keytool.exe -import -trustcacerts -alias intermediate_COMODORSAAddTrustCA -file COMODORSAAddTrustCA.crt -keystore eakte.keystore
Wenn ich jetzt den Keystore in der Tomcat Konfiguration hinterlege, sehe ich im Logfile
Zitat:
the message error:0906D06C:PEM routines:PEM_read_bio:no start line
Dann habe ich den Keystore in PKCS#12 umgewandelt
Code:
keytool.exe -importkeystore -srckeystore eakte.keystore -destkeystore eakte.p12 -srcstoretype jks -deststoretype pkcs12
Und dann in PEM
Code:
openssl pkcs12 -in eakte.p12 -out eakte.pem
Nun sehe ich keinen Fehler mehr im Log, wenn ich mit open_ssl teste, sehe ich das eigentliche Zertifikat, aber die Zertifikatskette. Das merkt dann auch openssl an.

Weiß jemand, was ich falsch mache? Oder baue das falsch zusammen?

Stefan
Mit Zitat antworten

  #2  
Alt 25.07.2017, 13:42
greystone greystone ist offline
Registered User
 
Registriert seit: 05.2016
Beiträge: 273
Hi Stefan,

ich habe hier nur etwas "machs-anders"-Hilfe. Ich habe vor allen meinen Tomcats immer einen Webserver(idR apache) davor, womit ich per Proxy zum Tomcat durchleite. Lässt sich wesentlich einfacher konfigurieren.

Aber direkt mit Tomcat muss das natürlich auch gehen.

Grüße,
h.
Mit Zitat antworten
  #3  
Alt 25.07.2017, 14:17
marce marce ist offline
Registered User
 
Registriert seit: 10.2009
Ort: Dettenhausen
Alter: 43
Beiträge: 1.395
ich freu mich auch immer, wenn ich für TomCat Zertifikate erstellen darf.

Aktuell habe ich folgenden, bisher immer funktionierenden Workflow:
Code:
#!/bin/bash
 
domain=$1
 
openssl pkcs8 -topk8 -nocrypt -in ${domain}.key -inform PEM -out ${domain}.key.der -outform DER
openssl x509 -in ${domain}.crt  -inform PEM -out ${domain}.crt.der -outform DER
openssl x509 -in intermediates.crt -inform PEM -out intermediates.crt.der -outform DER
 
cat ${domain}.crt.der intermediates.crt.der > ${domain}_all.crt.der
 
/usr/local/java_1_8/bin/java ImportKey ${domain}.key.der ${domain}_all.crt.der
mv ~/keystore.ImportKey ${domain}.ImportKey
 
/usr/local/java_1_8/bin/keytool -keystore ${domain}.ImportKey -storepasswd -new changeit
/usr/local/java_1_8/bin/keytool -keystore ${domain}.ImportKey -changealias -alias importkey -destalias "${domain}"
/usr/local/java_1_8/bin/keytool -keystore ${domain}.ImportKey -keypasswd -alias "${domain}" -new changeit
braucht noch ein ImportKey.class / .java - Quelle müsste ich noch googlen.

edit: das müsste es sein: https://github.com/cornet/importkey

ich hab' hier auch ca. 5 verschiedene Wege, das komplett über OpenSSL zu erledigen, die jeder je nach Java-Version und Quelle des Zertifikats und Umfang der intermediates mal mehr oder weniger zuverlässig funktionieren.

Manchmal findet mal auch in der Doku der jeweiligen CA funktionierende Tipps. Oder gleich die Option, das Ding als fertigen Java-KeyStore herunterzuladen.

Geändert von marce (25.07.2017 um 14:29 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ssl, tomcat, zertifikat


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Installation bleibt stehen bolop Webserver 11 21.02.2014 08:38
500 Internal Server Error Ephram Plesk 2 11.05.2010 08:34
Plesk 9.2.1 Internal Server Error 500 keshan92 Plesk 7 24.02.2010 16:46
ASN1_CHECK_TLEN:wrong tag bei proftpd + tls mrtnmueller FTP 2 21.01.2009 12:15
ERROR: PleskFatalException tommi501 Plesk 8 06.12.2007 01:36


Tomcat mit SSL Zertifikat ausstatten
Tomcat mit SSL Zertifikat ausstatten
Tomcat mit SSL Zertifikat ausstatten Tomcat mit SSL Zertifikat ausstatten
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2018 DragonByte Technologies Ltd.