So aktualisieren Sie einen Tomcat-keystore mit einem neuen SSL-Zertifikat?

Vor etwa einem Jahr bekam ich ein SSL-Zertifikat von GoDaddy und installiert es auf einem Tomcat-server nach Ihren Anweisungen. Keine Probleme.

Das Zertifikat bald abläuft, also habe ich erneuert. GoDaddy schickte mir drei .cer-Dateien. Ich kann nicht herausfinden, was mit Ihnen zu tun.

Wenn ich generieren, eine Marke neue keystore und versuchen, importieren Sie die Dateien in es wie ich zum ersten mal, es funktioniert nicht. Ich nehme an, dies ist, weil die neue keystore nicht über meine ursprüngliche private Schlüssel.

Wenn ich versuche zu importieren, die neuen Zertifikate in die alte Datei, die es nicht zulassen werden.

Wenn ich den alten keystore und löschen Sie einige oder alle alten Zertifikate und ersetzen Sie Sie durch neue, keytool erlaubt, aber die keystore funktioniert nicht, wenn ich es installieren auf meinem server.

Ich weiß nicht, was als Nächstes zu tun ist.

Hast du es erneuern, mit neuen Schlüsseln (hab Sie senden eine neue CSR), oder haben Sie gerade wieder eine neue Bescheinigung ausstellen, mit neuen, Daten mit dem gleichen öffentlichen Schlüssel?
Anfangs habe ich mir gesagt, es zu re-issue mit dem ursprünglichen Schlüssel. Später fand ich eine option, um re-key mit einer neuen CSR. Danach konnte ich es wieder zum laufen bekommen. Ich denke, das ist OK, nur haben sich daran zu erinnern, es zu tun im nächsten Jahr.

InformationsquelleAutor user332000 | 2014-05-20

  1. 5

    Benutze ich Let ' s encrypt-Zertifikate (kostenlos, signiert). Ich habe erstellt ein automatisiertes Skript, um den Schlüsselspeicher zu aktualisieren, Sie können verwenden Sie es als inspiration oder wechseln Sie zu der Datei und verwenden Sie es, wie es ist.
    Mehr info hier: http://blog.ivantichy.cz/blogpost/view/74

    #!/bin/bash
#author Ivan Tichy
#Please modify these values according to your environment
certdir=/etc/letsencrypt/live/jira.ivantichy.cz/#just replace the domain name after /live/
keytooldir=/opt/atlassian/jira/jre/bin/#java keytool located in jre/bin
mydomain=jira.ivantichy.cz #put your domain name here
[email protected] #your email
networkdevice=eth0 #your network device  (run ifconfig to get the name)
keystoredir=/home/jira/.keystore #located in home dir of user that you Tomcat is running under - just replace jira with your user you use for Tomcat, see ps -ef to get user name if you do not know

#the script itself:
cd /var/git/letsencrypt
git pull origin master
iptables -I INPUT -p tcp -m tcp --dport 9999 -j ACCEPT
iptables -t nat -I PREROUTING -i $networkdevice -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999

./letsencrypt-auto certonly --standalone --test-cert -d $mydomain --standalone-supported-challenges http-01 --http-01-port 9999 --renew-by-default --email $myemail --agree-tos
#./letsencrypt-auto certonly --standalone -d $mydomain --standalone-supported-challenges http-01 --http-01-port 9999 --renew-by-default --email $myemail --agree-tos

iptables -t nat -D PREROUTING -i $networkdevice -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
iptables -D INPUT -p tcp -m tcp --dport 9999 -j ACCEPT

$keytooldir/keytool -delete -alias root -storepass changeit -keystore $keystoredir
$keytooldir/keytool -delete -alias tomcat -storepass changeit -keystore $keystoredir

openssl pkcs12 -export -in $certdir/fullchain.pem -inkey $certdir/privkey.pem -out $certdir/cert_and_key.p12 -name tomcat -CAfile $certdir/chain.pem -caname root -password pass:aaa

$keytooldir/keytool -importkeystore -srcstorepass aaa -deststorepass changeit -destkeypass changeit -srckeystore $certdir/cert_and_key.p12 -srcstoretype PKCS12 -alias tomcat -keystore $keystoredir
$keytooldir/keytool -import -trustcacerts -alias root -deststorepass changeit -file $certdir/chain.pem -noprompt -keystore $keystoredir


# restart your Tomcat server – mine is running JIRA
service jira stop
service jira start

    InformationsquelleAutor Ivan Tichy

  2. 4

    Verwende ich ein grafisches tool, das sehr einfach keystore-management. Es heißt portecle und kann gefunden werden hier. Wenn Sie erhalten ein neues Zertifikat von GoDaddy, nur öffnen Sie die keystore-in portecle, wählen Sie Ihre alte (vor Ablauf) Zertifikat mit der rechten Maustaste auf es und importieren Sie die neue "Antwort der ZERTIFIZIERUNGSSTELLE" (d.h., Ihr erneuertes Zertifikat). Dann speichern Sie die keystore und starten Sie tomcat neu.

    Danke. Das tool, Portecle, ist sehr einfach zu bedienen und war eine große Hilfe 🙂
    Danke Kumpel . Dies ersparte mir einen Tag . Tolles tool 🙂
    Die neue version 1.9 ist nicht für mich arbeiten . Immer "Konnte nicht Vertrauen schaffen, für Sie die Antwort der CA" - Fehler, wenn ich die Antwort der ZERTIFIZIERUNGSSTELLE Importieren
    dies ist, weil Sie das CA-Zertifikat nicht bereits im Schlüsselspeicher, oder es nicht vertrauenswürdig ist, wird als Zertifizierungsstelle (CA).
    Mein Zertifikat habe gestern abgelaufen. Im letzten Jahr klappte es nach Ihrer Schritte. Was ich getan habe jetzt ist der Import keystore angegeben, die gültig ist . Sollte ich eine neue csr erstellen und senden Sie an godaddy, während die Erneuerung des Zertifikats ?

    InformationsquelleAutor eppesuig

Schreibe einen Kommentar