CSR-Generierung und Zertifikatsinstallation: Glassfish 4.x

1. Erstellen Sie einen Keystore:

Verwenden Sie den folgenden Befehl, um einen Keystore zu erstellen:

> keytool -genkey -alias youralias -keyalg RSA -keystore yourkeystorename.jks -keysize 2048
Hinweis: Sie werden aufgefordert, das Kennwort für den Keystore einzugeben, wenn Sie den obigen Befehl ausführen. Das Kennwort des neu erstellten Keystores muss mit dem Master-Kennwort des Glassfish übereinstimmen, da das Master-Kennwort für den Zugriff auf den Zertifikat-Keystore verwendet wird. Das Standard-Master-Passwort lautet „ changeit “ und kann mit Hilfe des Unterbefehls „change-master-password“ geändert werden.  Anschließend werden Sie aufgefordert, Folgendes einzugeben:

Stellen Sie sicher, dass die hier ausgefüllten Angaben mit den Angaben übereinstimmen, die Sie uns zum Zeitpunkt des Kaufs mitgeteilt haben.
Wie lautet Ihr Vor- und Nachname ? = Ihr Domain Name (zB www.Sectigo.com)
Wie lautet der Name Ihrer Organisationseinheit ? = Ihre Abteilung (zB IT)
Wie heißt Ihre Organisation ? = Ihre Organisation (zB Sectigo CA Ltd)
Wie lautet der Name Ihrer Stadt oder Ihres Ortes ? = Ihre Stadt (zB Clifton)
Wie heißt Ihr Bundesstaat oder Ihre Provinz ? = Ihr Bundesstaat (z. B. New Jersey)
Wie lautet der aus zwei Buchstaben bestehende Ländercode für dieses Gerät? = Ihre Landesvorwahl (zB USA)
Tipp: Klicken Sie hier, um die Liste der Ländercodes anzuzeigen

Wenn alle diese Felder ausgefüllt wurden, wird die Zusammenfassung angezeigt, um die Richtigkeit zu bestätigen. Geben Sie y ein und drücken Sie die Eingabetaste. Sie werden dann aufgefordert, das Schlüsselkennwort für Ihren Alias ​​einzugeben. Drücken Sie einfach die Eingabetaste, um das Schlüsselkennwort mit dem Kennwort für den Keystore identisch zu lassen.

2. Generieren Sie CSR mit dem Keystore:

Verwenden Sie den folgenden Befehl, um eine CSR zu generieren:

> keytool -certreq -alias youralias -file yourcsrname.csr -keystore yourkeystorename.jks

Hinweis:  Stellen Sie sicher, dass Sie die gleichen Werte wie im vorherigen Befehl für [youralias] und [yourkeystorename] angeben.

3.  Übermitteln Sie die CSR an CA:

Wenn Sie das Zertifikat direkt bei Sectigo gekauft haben, melden Sie sich bitte bei Ihrem Konto an und laden Sie die CSR- Inhalte in der erforderlichen Reihenfolge hoch  .

4. Importieren Sie die Zertifikate in den Keystore:

Wenn Sie die Zertifikatdateien von Sectigo erhalten haben, ist es an der Zeit, sie in den Keystore zu importieren. Sie können PEM-codierte oder PKCS # 7- oder DER-codierte .CER-Zertifikatdateien zum Importieren in den Keystore verwenden.

• PEM

Wenn Sie vier ZIP-Zertifikatsdateien erhalten haben, führen Sie die folgenden Befehle aus.

> keytool -import -v -trustcacerts -alias root -file  addtrustexternalcaroot.crt -keystore yourkeystorename.jks

> keytool -import -v -trustcacerts -alias USERTrustR SAAddTrustCA -datei USERTrustRSAAddTrustCA.crt -keystore yourkeystorename.jks

> keytool -import -v -trustcacerts -alias SectigoRSADomainValidationSecureServerCA -file SectigoRSADomainValidationSecureServerCA.crt -keystore yourkeystorename.jks

> keytool -import -alias youralias -trustcacerts -file  your_domain_certificate.crt -keystore yourkeystorename.jks
Hinweis:  Jede Zertifikatdatei muss mit einem eindeutigen Aliaswert importiert werden und der Alias ​​des Domänenzertifikats muss mit dem Keystore-Alias ​​übereinstimmen.

---

• PKCS # 7Sie können die CRT-Datei (Domain Certificate) auf einem (aktuellen) Windows-Computer installieren und anschließend die p7b-Datei exportieren.

> keytool -import -alias youralias -trustcacerts -file  your_domain_certificate.p7b  -keystore yourkeystorename.jks

---

• DER Encoded .CER

> keytool -import -alias youralias -trustcacerts -file  your_domain_certificate.cer  -keystore yourkeystorename.jks
Hinweis: Der obige Befehl funktioniert nur unter Java 7 und höher

5. Importieren des ursprünglichen Keystores in den Standard-Keystore:

Nachdem die Zertifikate erfolgreich in den Keystore importiert wurden, müssen die Zertifikate und der entsprechende private Schlüssel in den Glassfish-Standard-Keystore mit dem Namen « keystore.jks « verschoben werden . Normalerweise befindet sich diese Datei imVerzeichnis glassfish4 / glassfish / domains / domain1 / config , obwohl der Pfad zu dieser Datei je nach Glassfish-Installationsordner und Betriebssystem leicht variieren kann. Der folgende Befehl keytool sollte zum Importieren eines Keystores in einen anderen verwendet werden:
> keytool -importkeystore -srckeystore yourkeystorename .jks -destkeystore keystore.jks
HINWEIS: Da das Endpunkt-Keystore-Kennwort und das Glassfish-Master-Kennwort übereinstimmen müssen, stellen Sie sicher, dass Sie für den Quell- und Ziel-Keystore dieselben Kennwörter verwenden. Wenn sie unterschiedlich sind, kann das Glassfish-Master-Passwort mithilfe des Unterbefehls „ change-master-password “ geändert werden, mit dem das Quell-Keystore- Passwort angegeben wird. Diese Aktion aktualisiert auch das Kennwort des Ziel-Keystores.

6 . Konfigurieren Sie HTTP-Listener-2:

Gehen Sie in der Glassfish Admin-Konsole zu Konfigurationen -> Serverkonfiguration -> http-Listener-2 und:

1. Unter der Allgemein Registerkarte, ändern Sie den Hafen , von 8181 bis 443 (es sei denn , Sie einen anderen Port verwenden möchten)
2. Unter dem SSL – Registerkarte das ändern Nickname Zertifikat von s1as zu dem Alias des Hauptzertifikat ( youralias ) (die die gleiche wie die Keystore – Alias sein sollte)
3. Sparen.

8. ÜBERPRÜFEN SIE DIE INSTALLATION: 

Verwenden Sie das Qualys SSL Server Test  Tool, um einen kurzen Bericht über die Sicherheitseinstellungen und die Zertifikatinstallation Ihres Servers zu erhalte