Glassfish: StartSSL Zertifikate

Dieses mal bestücken wir einen Glassfish Application Server (ab Version 3) mit einem Zertifikat von StartSSL.

Hierbei ist wichtig, dass noch kein Zertifikat bei StartSSL erstellt wurde.

Das Passwort des Keystores lautet immer changeit.

Als erstes müssen wir den privaten Schlüssel generieren:

# keytool -genkey -alias domainname -keysize 4096 -keyalg RSA -keystore keystore.jks -dname “CN=domainname.tld, OU=Organisationseinheit, O=Organisation, L=Stadt, S=Bundesland, C=Land”

Als nächstes müssen wir einen Certificate Signing Request (CSR) erstellen:

# keytool -certreq -alias domainname -sigalg SHA1withRSA -keystore keystore.jks -file ssl.csr

Die Datei ssl.csr reichen wir nun bei StartSSL zum signieren ein. Anschließend erhalten wir unser signiertes Zertifikat (ssl.crt).

Zusätzlich benötigen wir nun noch das CA Zertifikat (ca.crt) und das Chain Zertifikat (sub.class2.ca.crt).

Diese Zertifikate müssen nun in den Keystore importiert werden:

# keytool -import -alias startsslcert -keystore keystore.jks -trustcacerts -file ca.crt
# keytool -import -alias startsslsub -keystore keystore.jks -trustcacerts -file sub.class2.ca.crt
# keytool -import -alias domainname -keystore keystore.jks -trustcacerts -file ssl.crt

Nun importiert man die StartSSL Zertifikate noch in den cacerts Store in glassfish/domains/domainname/config/cacerts.jks:

# keytool -import -alias startsslcert -keystore cacerts.jks -trustcacerts -file ca.crt
# keytool -import -alias startsslsub -keystore cacerts.jks -trustcacerts -file sub.class2.ca.crt

Die keystore.jks kopiert man nun in glassfish/domains/domainname/config.

Anschließend öffnet man in selbrigen ORdner die domain.xml und ersetzt alle Vorkommen von s1as durch domainname.

Nach einem Neustart des Glassfish ist das Zertifikat nun einsatzbereit.

07 Aug

by 

2 Comments

  • Ralle @virtualmarc

    Woher bekommen wir das CA bzw. Chain Zertifikat?

    Reply 0 Likes
    • virtualmarc @virtualmarc

      Die entsprechenden CA Zertifikate können hier heruntergeladen werden:

      https://www.startssl.com/root

      Es wird einmal das CA-Zertifikat benötigt: ca.crt (PEM) unter Root CA Certificates

      und das Chain Zertifikat. Hier kommt es drauf an ob du ein Free Zertidikat (Class 1) oder häher (Class 2+) hast. Diese befinden sich unter Intermediate CA Certificates. Hier ebenfalls die PEM Variante.

      Reply 0 Likes

Leave a reply

Created with Snap