Hantera SSL i Tomcat på Windows

Introduktion

När du beställer ett SSL-certifikat krävs en Certificate Signing Request (CSR), som genereras utifrån en privat nyckel.

Om du själv vill skapa den privata nyckeln och generera CSR-filen, följ instruktionerna under Generera CSR och därefter Installation av SSL-certifikat.

Alternativt kan du välja vår CSR-tjänst vid beställningen. Då genererar vi den privata nyckeln och CSR-filen åt dig, och du får certifikatet och nyckeln levererat säkert som en samlad .PFX-fil. Följ i så fall Installation via PFX-fil.

Utöver att installera själva certifikatet måste du säkerställa att HTTPS-sektionen är aktiv i konfigurationen och använder önskad port, till exempel 443.

Alla angivna sökvägar utgår från en standardinstallation. Om din server är installerad på ett annat sätt behöver du anpassa sökvägarna därefter.

För att kontrollera vilken version du har installerad, gör följande:

1. Kör följande kommando för att se versioner för OS, Tomcat och JVM:

c:\tomcat\bin\version.bat

2. Skapa en mapp med namnet certificates för certifikat och keystore-filer:

mkdir c:\tomcat\certificates

Generera CSR

I det här exemplet används ett enskilt DNS-namn som fungerar för både standard- och SAN-certifikat. För ett wildcard-certifikat ska Common Name ändras till *.fairssl.se

För att kunna genomföra en beställning och generera CSR-koden behöver du samla in följande information till certifikatet:

• Common Name (CN): Webbplatsens fullständiga domännamn (FQDN). Exempel: www.fairssl.se
• Organization Name (O): Organisationens fullständiga juridiska namn. Exempel: FairSSL ApS
• Organizational Unit (OU): Avdelningen som ska använda certifikatet. Bör inte kunna förväxlas med ett annat företag. Vi rekommenderar att lämna fältet tomt eller ange företagsnamnet. Exempel: FairSSL ApS
• Locality (L): Stad/ort. Exempel: Stockholm
• State (S): Län eller kommun. Exempel: Stockholms län
• Country (C): ISO-standard med två bokstäver för landskod, måste skrivas med versaler. Exempel: SE

Observera att Keytool inte alltid hanterar Å, Ä och Ö korrekt. Ersätt dessa med AA, AE och OE vid behov.

Skapa keystore

1. Skapa en keystore-fil genom att köra följande kommando:

Om du redan har en keystore kan du använda sökvägen till den tillsammans med tillhörande lösenord.

• alias: Ett namn som är enkelt att komma ihåg för den webbplats certifikatet ska användas på, till exempel DNS-namnet.
• password: Här anger du ett lösenord för keystore-filen. Om du lämnar det tomt används standardlösenordet: changeit

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -genkey -alias www.mydomain.dk -keyalg RSA -keysize 2048 -keystore c:\tomcat\certificates\keystore

Använd nu den information du samlade in under Generera CSR.

First and last name: Här anger du Common Name.

Vid Enter key password for är det viktigt att inte skriva något (tryck bara Enter), eftersom Tomcat kräver att lösenordet är identiskt för både keystore och nyckel.

Skapa CSR

1. För att skapa en CSR behöver du det alias du valde när du skapade din keystore.

Kör följande kommando med lösenordet till din keystore-fil:

• alias: Det alias du vill använda för att skapa CSR-filen.
• keystore: Sökväg och namn på keystore-filen.
• file: Sökväg och namn för den CSR-fil som ska skapas.

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -certreq -keyalg RSA -keysize 2048 -alias www.mydomain.dk -keystore c:\tomcat\certificates\keystore -file c:\tomcat\certificates\www.mydomain.dk.csr

2. Öppna CSR-filen med valfri textredigerare (till exempel notepad www.fairssl.dk.csr).

Kopiera hela texten, inklusive alla bindestreck i början och slutet.

Klistra in texten i CSR-fältet vid beställning av certifikatet.

Här är ett exempel på hur en komplett CSR-text ser ut:

Installation av SSL-certifikat

1. Importera det mellanliggande certifikatet (intermediate) till din keystore-fil:

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -import -alias root -keystore c:\tomcat\certificates\keystore -trustcacerts -file c:\tomcat\certificates\intermediate.crt

2. Importera ditt certifikat till din keystore-fil:

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -import -alias www.mydomain.dk -keystore c:\tomcat\certificates\keystore -file c:\tomcat\certificates\www.mydomain.dk.crt

3. Starta om Tomcat-tjänsten.

Installation via PFX-fil

Tomcat 5+ har stöd för att använda PKCS#12-filer direkt i konfigurationen.

Om det inte fungerar, följ instruktionerna för Konvertering från PFX till keystore (kräver JVM 1.6+).

1. Placera din PFX-fil i c:\tomcat\certificates

2. Öppna filen server.xml med en textredigerare, till exempel:

3. notepad c:\tomcat\conf\server.xml

4. Ange nedanstående och justera så att det passar din server:

• hostName: DNS-namnet för din webbplats.
• certificateKeystoreFile: Sökvägen till din PFX-fil.
• keystorePass: Lösenordet till PFX-filen. Om du har använt vår CSR-tjänst skickas koden via SMS.

hostName="www.mydomain.dk"

maxThreads="200"

scheme="https"

secure="true"

SSLEnabled="true"

Protocols="TLSv1,TLSv1.1,TLSv1.2"

clientAuth="false">

keystorePass="MyPassWord"

keystoreType="PKCS12" />

5. Starta om Tomcat-tjänsten.

Konvertering från PFX till keystore

1. Om du har en befintlig keystore, säkerhetskopiera den med följande kommando:

move c:\tomcat\certificates\keystore c:\tomcat\certificates\keystore.bak

2. Om du har använt vår CSR-tjänst kommer alias att vara något i stil med fairssl-2018. Du kan behålla det namnet eller ändra det för att göra det enklare att hantera.

Kör följande kommando för att se vilka alias som finns i PFX-filen:

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -list -keystore c:\tomcat\certificates\www.mydomain.dk.pfx

3. Importera nu PFX-filen till den nya keystoren med följande kommando:

• srckeystore: Sökvägen till PFX-filen.
• srcalias: Det alias du hittade i punkt 2.
• srcstorepass: Lösenord till PFX-filen. Om du har använt vår CSR-tjänst skickas koden via SMS.
• destkeystore: Sökvägen till keystore-filen.
• destalias: Det alias du vill ha i din keystore.
• deststorepass: Det lösenord du vill ha för din keystore.
• destkeypass: Samma lösenord som deststorepass.

"c:\Program Files\Java\jdk1.8.0_181\bin\keytool.exe" -importkeystore -srckeystore c:\tomcat\certificates\www.mydomain.dk.pfx -srcalias fairssl-2018 -srcstoretype PKCS12 -srcstorepass myPassword -destkeystore c:\tomcat\certificates\keystore -deststoretype JKS -destalias www.mydomain.dk -deststorepass keystorePassword -destkeypass keystorePassword

4. Starta om Tomcat-tjänsten.

Konfiguration av server.xml

1. Öppna filen server.xml med en textredigerare, till exempel:

notepad c:\tomcat\conf\server.xml

2. Ange nedanstående och justera så att det passar din server:

• hostName: DNS-namnet för din webbplats.
• certificateKeystoreFile: Sökvägen till din keystore.
• keystorePass: Lösenordet du valde när du skapade keystore-filen.

hostName="www.mydomain.dk"

maxThreads="200"

scheme="https"

secure="true"

SSLEnabled="true"

Protocols="TLSv1,TLSv1.1,TLSv1.2"

clientAuth="false">

keystorePass="MyPassWord"

keyAlias="www.mydomain.dk"

type="RSA" />

3. Starta om Tomcat-tjänsten.

Mellanliggande certifikat (Intermediate)

Mellanliggande certifikat

Här hittar du mellanliggande certifikat (intermediate) från de olika utfärdarna.

Vi rekommenderas att du använder det certifikat som skickades med din beställning. Ladda bara ner härifrån om du har förlorat det, eftersom det medföljande certifikatet alltid är det som är korrekt för just ditt servercertifikat.

Mellanliggande certifikat