How Can We Help?
CSR-Generierung und Zertifikatsinstallation: Glassfish 4.x
1. Erstellen Sie einen Keystore:
Verwenden Sie den folgenden Befehl, um einen Keystore zu erstellen:
> keytool -genkey -alias youralias -keyalg RSA -keystore yourkeystorename.jks -keysize 2048
Hinweis: Sie werden aufgefordert, das Kennwort für den Keystore einzugeben, wenn Sie den obigen Befehl ausführen. Das Kennwort des neu erstellten Keystores muss mit dem Master-Kennwort des Glassfish übereinstimmen, da das Master-Kennwort für den Zugriff auf den Zertifikat-Keystore verwendet wird. Das Standard-Master-Passwort lautet „ changeit “ und kann mit Hilfe des Unterbefehls „change-master-password“ geändert werden. Anschließend werden Sie aufgefordert, Folgendes einzugeben:
Stellen Sie sicher, dass die hier ausgefüllten Angaben mit den Angaben übereinstimmen, die Sie uns zum Zeitpunkt des Kaufs mitgeteilt haben.
Wie lautet Ihr Vor- und Nachname ? = Ihr Domain Name (zB www.Sectigo.com)
Wie lautet der Name Ihrer Organisationseinheit ? = Ihre Abteilung (zB IT)
Wie heißt Ihre Organisation ? = Ihre Organisation (zB Sectigo CA Ltd)
Wie lautet der Name Ihrer Stadt oder Ihres Ortes ? = Ihre Stadt (zB Clifton)
Wie heißt Ihr Bundesstaat oder Ihre Provinz ? = Ihr Bundesstaat (z. B. New Jersey)
Wie lautet der aus zwei Buchstaben bestehende Ländercode für dieses Gerät? = Ihre Landesvorwahl (zB USA)
Tipp: Klicken Sie hier, um die Liste der Ländercodes anzuzeigen
Wenn alle diese Felder ausgefüllt wurden, wird die Zusammenfassung angezeigt, um die Richtigkeit zu bestätigen. Geben Sie y ein und drücken Sie die Eingabetaste. Sie werden dann aufgefordert, das Schlüsselkennwort für Ihren Alias einzugeben. Drücken Sie einfach die Eingabetaste, um das Schlüsselkennwort mit dem Kennwort für den Keystore identisch zu lassen.
2. Generieren Sie CSR mit dem Keystore:
Verwenden Sie den folgenden Befehl, um eine CSR zu generieren:
> keytool -certreq -alias youralias -file yourcsrname.csr -keystore yourkeystorename.jks
Hinweis: Stellen Sie sicher, dass Sie die gleichen Werte wie im vorherigen Befehl für [youralias] und [yourkeystorename] angeben.
3. Übermitteln Sie die CSR an CA:
Wenn Sie das Zertifikat direkt bei Sectigo gekauft haben, melden Sie sich bitte bei Ihrem Konto an und laden Sie die CSR- Inhalte in der erforderlichen Reihenfolge hoch .
4. Importieren Sie die Zertifikate in den Keystore:
Wenn Sie die Zertifikatdateien von Sectigo erhalten haben, ist es an der Zeit, sie in den Keystore zu importieren. Sie können PEM-codierte oder PKCS # 7- oder DER-codierte .CER-Zertifikatdateien zum Importieren in den Keystore verwenden.
- PEM
Wenn Sie vier ZIP-Zertifikatsdateien erhalten haben, führen Sie die folgenden Befehle aus.
> keytool -import -v -trustcacerts -alias root -file addtrustexternalcaroot.crt -keystore yourkeystorename.jks
> keytool -import -v -trustcacerts -alias USERTrustR SAAddTrustCA -datei USERTrustRSAAddTrustCA.crt -keystore yourkeystorename.jks
> keytool -import -v -trustcacerts -alias SectigoRSADomainValidationSecureServerCA -file SectigoRSADomainValidationSecureServerCA.crt -keystore yourkeystorename.jks
> keytool -import -alias youralias -trustcacerts -file your_domain_certificate.crt -keystore yourkeystorename.jks
Hinweis: Jede Zertifikatdatei muss mit einem eindeutigen Aliaswert importiert werden und der Alias des Domänenzertifikats muss mit dem Keystore-Alias übereinstimmen.
- PKCS # 7Sie können die CRT-Datei (Domain Certificate) auf einem (aktuellen) Windows-Computer installieren und anschließend die p7b-Datei exportieren.
> keytool -import -alias youralias -trustcacerts -file your_domain_certificate.p7b -keystore yourkeystorename.jks
- DER Encoded .CER
> keytool -import -alias youralias -trustcacerts -file your_domain_certificate.cer -keystore yourkeystorename.jks
Hinweis: Der obige Befehl funktioniert nur unter Java 7 und höher
5. Importieren des ursprünglichen Keystores in den Standard-Keystore:
Nachdem die Zertifikate erfolgreich in den Keystore importiert wurden, müssen die Zertifikate und der entsprechende private Schlüssel in den Glassfish-Standard-Keystore mit dem Namen « keystore.jks « verschoben werden . Normalerweise befindet sich diese Datei imVerzeichnis glassfish4 / glassfish / domains / domain1 / config , obwohl der Pfad zu dieser Datei je nach Glassfish-Installationsordner und Betriebssystem leicht variieren kann. Der folgende Befehl keytool sollte zum Importieren eines Keystores in einen anderen verwendet werden:
> keytool -importkeystore -srckeystore yourkeystorename .jks -destkeystore keystore.jks
HINWEIS: Da das Endpunkt-Keystore-Kennwort und das Glassfish-Master-Kennwort übereinstimmen müssen, stellen Sie sicher, dass Sie für den Quell- und Ziel-Keystore dieselben Kennwörter verwenden. Wenn sie unterschiedlich sind, kann das Glassfish-Master-Passwort mithilfe des Unterbefehls „ change-master-password “ geändert werden, mit dem das Quell-Keystore- Passwort angegeben wird. Diese Aktion aktualisiert auch das Kennwort des Ziel-Keystores.
6 . Konfigurieren Sie HTTP-Listener-2:
Gehen Sie in der Glassfish Admin-Konsole zu Konfigurationen -> Serverkonfiguration -> http-Listener-2 und:
- Unter der Allgemein Registerkarte, ändern Sie den Hafen , von 8181 bis 443 (es sei denn , Sie einen anderen Port verwenden möchten)
- Unter dem SSL – Registerkarte das ändern Nickname Zertifikat von s1as zu dem Alias des Hauptzertifikat ( youralias ) (die die gleiche wie die Keystore – Alias sein sollte)
- Sparen.
8. ÜBERPRÜFEN SIE DIE INSTALLATION:
Verwenden Sie das Qualys SSL Server Test Tool, um einen kurzen Bericht über die Sicherheitseinstellungen und die Zertifikatinstallation Ihres Servers zu erhalte