Instalando um certificado SSL no Tomcat (Windows)

rdbarbosa — GMT

1. Para adquirir um certificado SSL � necess�rio gerar uma requisi��o da assinatura do certificado (CSR - Certificate Signing Request) que � um arquivo criptografado que cont�m a chave p�blica, nome, localidade e URL (endere�o Web) de sua organiza��o. Na cria��o de um CSR dever� ser informado um arquivo inexistente em um caminho v�lido, este arquivo � o Keystore e o CSR � o inicio do Keystore. Para gerar o CSR utilize a ferramenta Keytool do SDK localizada em C:\Program Files\Java\jdk1.5.0_02\bin

Exemplo:
========

Comando
-------
keytool -genkey -alias certificado -keyalg RSA -keystore C:\Certificado\Keystore\definaonome.kdb

Preenchimento dos dados
-----------------------
What is your first and last name? *This is the Common Name Field - The Fully Qualified Domain Name MUST be entered here*
[Unknown]: www.dominio.com.br
What is the name of your organizational unit?
[Global Sign]: Raz�o da Empresa
What is the name of your organization?
[Global Sign]: Raz�o da Empresa
What is the name of your City or Locality?
[London]: Cidade
What is the name of your State or Province?
[London]: Estado
What is the two-letter country code for this unit?
[GB]: Pa�s

Notas
-----

* Lembrando que o caminho para o Keystore C:\Certificado\Keystore � v�lido e o arquivo definaonome.kdb n�o existe e ser� gerado com o CSR ap�s a execu��o do comando.

* Fazer imediatamente um backup do arquivo C:\Certificado\Keystore\definaonome.kdb, pois o certificado ser� gerado para apenas essa chave pl�blica e no caso de perda do arquivo ocassionando uma nova gera��o.

* Na cria��o do Keystore � solicitado a cria��o de uma senha, a mesma ser� utilizada durante todo o processo de implata��o do certificado, portando guarde a senha para uma futura consulta.

* No comando � utilizado o par�metro -alias certificado, quando receber o certificado da certificadora, o certificado dever� ser importado para o alias certificado.

2. A requisi��o foi gerada dentro do keystore informado, agora � o hora de gerar o arquivo CSR com os dados da requisi��o que est� no keystore. O arquivo ser� utilizado para efetuar o pedido do certificado juntamente com a certificadora. Algumas certificadoras possibilitam a inclu��o direta do arquivo na solicita��o on-line do certificado e outras disponibilizam um campo para ser inclu�do o conte�do do arquivo csr gerado, o conte�do completo desde -----BEGIN NEW CERTIFICATE REQUEST----- at� -----END NEW CERTIFICATE REQUEST-----

Exemplo:
========

Comando
-------
keytool -certreq -keyalg RSA -alias certificado -file C:\Certificado\Keystore\definaonome.csr -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb

Notas
-----

* No comando � utilizado o par�metro -alias certificado, este alias obviamente tem que ser o mesmo alias utilizado no comando do passo 1.

* O caminho para o .csr C:\Certificado\Keystore � v�lido e o arquivo definaonome.csr n�o existe e ser� gerado com ap�s a execu��o do comando.

* A senha solicitada na execu��o do comando a senha do keystore que foi cadastrada no comando do passo 1.

3. Efetuar o pedido online do certificado juntamente com a certificadora seguindo as instru��es do pr�prio site.

4. Todo certificado SSL segue uma estrutura, uma sequ�ncia, que se resume em gerado para e gerado por. Exemplo, o certificado gerado para www.dominio.com.br foi gerado por Certificadora Intermediario e o certificado gerado para Certificadora Intermediario foi gerado por Certificadora Root, portanto para o funcionamento do seu certificado � necess�rio instalar (importar para o keystore) todos os certificados que fazem parte da estrutura, tamb�m conhecidos como raizes do certificado. Obviamente que cada certificadora segue uma estrutura diferente. Para voc� identificar a estrutura correta do seu certificado (.cer - formato texto) abra o seu certificado (dois cliques), na aba detalhes (mostrar tudo), localize o campo assunto (subject); neste campo est�o as informa��es gerado para, localize o campo emissor (Issuer); neste campo est�o as informa��es gerado por; sendo assim at� chegar ao certificado root da certificadora. Enquanto voc� aguarda da certificadora a valida��o do seu CSR e a gera��o do seu certificado podemos ir instalando (importando) as raizes do certificado.

Exemplo:
========

Comandos
--------

keytool -import -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias Root -trustcacerts -file C:\Certificado\Certificadora\root.cer

keytool -import -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias Primary -trustcacerts -file C:\Certificado\Certificadora\intermediario.cer

Notas
-----

* Sempre come�ar pelo root, e depois ir seguindo a sequ�ncia.

* Os certificados ra�zes est�o dispon�veis no site das certificadoras.

* Os certificados ra�zes dever�o ser importados para o keystore gerado no comando do passo 1.

* A senha solicitada na execu��o do comando a senha do keystore que foi cadastrada no comando do passo 1.

* Cada certificado raiz � importado para um alias diferente.

5. O seu certificado pode ser enviado de diversas formas pela certificadora, algumas enviam o arquivo .cer .pem .crt e outras encaminham no corpo do e-mail. Para os casos dos arquivos � s� salvar o arquivo e instalar (importar), para os casos que o certificado est� no corpo do e-mail basta copiar o conte�do desde -----BEGIN CERTIFICATE----- at� -----END CERTIFICATE----- e atrav�s do notepad salvar um arquivo com este conte�do no formato .cer .crt .pem. Com o certificado em m�os � hora de instalar (importar) para o mesmo keystore gerado no comando do passo 1 e para o mesmo alias utilizado no comando do passo 1.

Exemplo:
========

Comando
-------
keytool -import -trustcacerts -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias certificado -file C:\Certificado\Certificadora\meucertificado.cer

Notas
-----

* A senha solicitada na execu��o do comando a senha do keystore que foi cadastrada no comando do passo 1.

* No comando � utilizado o par�metro -alias certificado, o certificado dever� ser importado para o alias utilizado na cria��o do CSR no comando do passo 1.

6. � interessante visualizar os certificados instalados (importados) no keystore, para conferir o sucesso da instala��o.

Exemplo:
========

Comando
-------
keytool -list -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -v > C:\Certificado\list.txt

Keystore type: jks
Keystore provider: SUN

Your keystore contains 3 entries

Alias name: client
Creation date: 12/07/2007
Entry type: keyEntry
Certificate chain length: 3

*******************************************
*******************************************

Alias name: root
Creation date: 12/07/2007
Entry type: trustedCertEntry

*******************************************
*******************************************

Alias name: primary
Creation date: 12/07/2007
Entry type: trustedCertEntry

*******************************************
*******************************************

Notas
-----

* O caminho de sa�da do comando � v�lido e o arquivo list.txt n�o existe e ser� gerado ap�s a execu��o do comando.

* A senha solicitada na execu��o do comando a senha do keystore que foi cadastrada no comando do passo 1.

7. Ap�s a devida instala��o (importa��o) do certificado e suas ra�zes para o keystore � hora de configurar o keystore no Tomcat e habilitar o conector SSL.

Exemplo:
========

Configura��o
------------

Editar o arquivo C:\Program Files\Apache Software Foundation\Tomcat 6.0\conf\server.xml
Excluir o trecho abaixo

Incluir o trecho abaixo

port="443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="C:\Certificado\Keystore\nomedefinidonocomando1.kdb" keystorePass="senhadokeystore"
clientAuth="false" sslProtocol="TLS"/>

Alterar tudo que for 8443 para 443, ctrl + h
Salvar e iniciar o servico do tomcat

Notas
-----

* keystoreFile="C:\Certificado\Keystore\nomedefinidonocomando1.kdb" � o caminho do keystore gerado no comando do passo 1.

* keystorePass="senhadokeystore" � a senha do keystore que foi cadastrada no comando do passo 1.

* O Tomcat disponibiliza uma documenta��o em http://localhost/docs/ssl-howto.html ou http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html, fique atento as instru��es pois h� uma pegadinha ou um erro na documenta��o. Na documenta��o o exemplo �:

<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->

Mas existem duas coisas que n�o est�o claras

1�

<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
A inclus�o dessa linha no server.xml n�o ir� funcionar, pois a mesma est� comentada de maneira incorreta o certo �:

2�

A cria��o do conector est� comentada, ou seja n�o ir� funcionar.

Re:Instalando um certificado SSL no Tomcat (Windows)

thingol — GMT

Sr. Renato...

S� perguntando, porque o post � muito comprido e n�o o li direito.

Voc� est� precisando de ajuda (voc� seguiu o tutorial mas teve algum problema), ou ent�o est� dizendo que o tutorial tem algum erro e est� comentando sobre os problemas?

Re:Instalando um certificado SSL no Tomcat (Windows)

cado — GMT

[quote=thingol]Sr. Renato...

S� perguntando, porque o post � muito comprido e n�o o li direito.

Voc� est� precisando de ajuda (voc� seguiu o tutorial mas teve algum problema), ou ent�o est� dizendo que o tutorial tem algum erro e est� comentando sobre os problemas?
[/quote]

po thingol, nao seria interessante ler o post dele e depois comentar??

Ele fez um mini-tutorial de como fazer para instalar um certificado ssl no windows.

Re:Instalando um certificado SSL no Tomcat (Windows)

thingol — GMT

� que ele n�o tinha sido muito claro.
Uma vez eu vi um tutorial sobre instala��o de certificados no Tomcat, pensei que ele tinha feito um "paste" desse tutorial, e posto um coment�rio em cima.
Mas na verdade ele estava dizendo que a documenta��o original do Tomcat est� com erros.

Re:Instalando um certificado SSL no Tomcat (Windows)

cado — GMT

[quote=thingol]� que ele n�o tinha sido muito claro.
Uma vez eu vi um tutorial sobre instala��o de certificados no Tomcat, pensei que ele tinha feito um "paste" desse tutorial, e posto um coment�rio em cima.
Mas na verdade ele estava dizendo que a documenta��o original do Tomcat est� com erros.

[/quote]

� q ultimamente o pessoal anda estressado aqui sabe e me surpreendi quendo vi q era vc que tinha falado aquilo.

Re:Instalando um certificado SSL no Tomcat (Windows)

Gobain — GMT

E ent�o pessoal,

To tentando seguir esse how-to aqui, mas cheguei nesse erro... alguma id�ia?

[code]
17/08/2007 15:22:28 org.apache.coyote.http11.Http11BaseProtocol start
SEVERE: Error starting endpoint
java.io.IOException: Cannot recover key
at org.apache.tomcat.util.net.jsse.JSSE14SocketFactory.init(JSSE14SocketFactory.java:126)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSocket(JSSESocketFactory.java:89)
at org.apache.tomcat.util.net.PoolTcpEndpoint.initEndpoint(PoolTcpEndpoint.java:293)
at org.apache.tomcat.util.net.PoolTcpEndpoint.startEndpoint(PoolTcpEndpoint.java:313)
at org.apache.coyote.http11.Http11BaseProtocol.start(Http11BaseProtocol.java:151)
at org.apache.coyote.http11.Http11Protocol.start(Http11Protocol.java:76)
at org.apache.catalina.connector.Connector.start(Connector.java:1090)
at org.apache.catalina.core.StandardService.start(StandardService.java:457)
at org.apache.catalina.core.StandardServer.start(StandardServer.java:700)
at org.apache.catalina.startup.Catalina.start(Catalina.java:552)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:295)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:433)

[/code]

�ltimas mensagens do t�pico "Instalando um certificado SSL no Tomcat (Windows)"

Instalando um certificado SSL no Tomcat (Windows)

Re:Instalando um certificado SSL no Tomcat (Windows)

Re:Instalando um certificado SSL no Tomcat (Windows)

Re:Instalando um certificado SSL no Tomcat (Windows)

Re:Instalando um certificado SSL no Tomcat (Windows)

Re:Instalando um certificado SSL no Tomcat (Windows)