[Tomcat]ワイルドカードSSLサーバ証明書の導入

001_wildcard

以前、トライアル版SSLサーバ証明書の導入の記事を書きましたが、それに関連して
今回はワイルドカードSSLサーバ証明書の導入の備忘録です。

APサーバはTomcatを使用しています。

手順は以下
1.Java付属のKeytoolを使用しキーストア生成
2.キーストアからCSRファイル生成
3.ワイルドカードSSLサーバ証明書の購入
4.キーストアにインポートする証明書3種類をサーバにFTP
5.キーストアにルート証明書をインポート
6.キーストアに中間CA証明書をインポート
7.キーストアにSSLサーバ証明書をインポート
8.Tomcatのサーバー設定(server.xml)

1.Java付属のKeytoolを使用してキーストア生成

以下コマンドでキーストアファイル(keystore)を生成します。

# keytool -genkeypair -alias tomcat -keyalg RSA -keystore keystore -keysize 2048
キーストアのパスワードを入力してください:	//任意にパスワード設定
新規パスワードを再入力してください:			//パスワード再入力
姓名を入力してください。
  [Unknown]:  *.example.com		//通常のドメイン名の頭に【*.】を付ける事
組織単位名を入力してください。
  [Unknown]:  xxx
組織名を入力してください。
  [Unknown]:  xxx
都市名または地域名を入力してください。
  [Unknown]:  xxx
都道府県名を入力してください。
  [Unknown]:  xxx
この単位に該当する2文字の国コードを入力してください。
  [Unknown]:  JP

<tomcat>の鍵パスワードを入力してください
        (キーストアのパスワードと同じ場合はRETURNを押してください

2.キーストアからCSRファイル生成

以下コマンドでCSRを生成します

# keytool -certreq -sigalg SHA1withRSA -alias tomcat -file certreq.csr -keystore keystore

3.ワイルドカードSSLサーバ証明書の購入

お好きな会社から購入します

4.キーストアにインポートする証明書3種類をサーバにFTP

証明書の料金支払いが完了しましたら、通常はメールで証明書が届きますのでそれをサーバにFTPします

5.キーストアにルート証明書をインポート

以下コマンドでまずはルート証明書をキーストアに入れます

# keytool -import -alias root -keystore ./keystore -file rootcacert.cer
キーストアのパスワードを入力してください:	//1で設定したパスワード
	:
	:
この証明書を信頼しますか。 [いいえ]:  y
証明書がキーストアに追加されました

6.キーストアに中間CA証明書をインポート

次に中間CA証明書を入れます

# keytool -import -alias cacert -keystore ./keystore -file dvcacert.cer
キーストアのパスワードを入力してください:
証明書がキーストアに追加されました

7.キーストアにSSLサーバ証明書をインポート

最後にワイルドカードSSLサーバ証明書を入れます
エイリアスの指定は1で生成したキーストアファイルのエイリアスと合わせる必要があります

# keytool -import -alias tomcat -keystore ./keystore -file globalsign.crt
キーストアのパスワードを入力してください:
証明書応答がキーストアにインストールされました

8.Tomcatのサーバー設定(server.xml)

キーストアの準備が整ったら、Tomcatの設定を行います。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           URIEncoding="UTF-8" 
           keystoreFile="/data/tomcat/keystore" keystorePass="ぱすわーど"/>

以上でTomcat再起動により反映されます。
example.comのサブドメイン(test.example.comなど)全てに対してSSLによる暗号化通信が実現します。それとサブではないexample.comもSSL通信が実現出来ています。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>