Glassfish 3 SSL mit kostenlosem StartSSL-Zertifikat versehen
Nach einigen erfolglosen Anläufen hat es dann doch geklappt: ein Glassfish 3 Server, der mit einem kostenlosen StartSSL-Zertifikat läuft. An sich ist es ganz einfach, wenn man nach dieser Anleitung geht.
Und damit diese Infos nicht verloren gehen, stehen sie hier noch einmal in Kurzform.
Ich habe diese Kommandos in einem temporären Verzeichnis durchgeführt. Da macht man nicht so viel kaputt. ;)
Die Passwörter für die Keystores sind in aller Regel "changeit". Und irgendwo im Web stand, das man das nicht ändern soll. :-D
Und last but not least: überall wo meinedomain steht, muss man natürlich seine eigene domain einsetzen.
Und damit diese Infos nicht verloren gehen, stehen sie hier noch einmal in Kurzform.
Ich habe diese Kommandos in einem temporären Verzeichnis durchgeführt. Da macht man nicht so viel kaputt. ;)
Die Passwörter für die Keystores sind in aller Regel "changeit". Und irgendwo im Web stand, das man das nicht ändern soll. :-D
Und last but not least: überall wo meinedomain steht, muss man natürlich seine eigene domain einsetzen.
- Den privaten Schlüssel erzeugen und in keystore.jks speichern
keytool -genkey -alias meinedomain -keysize 1024 -keyalg RSA -keystore keystore.jks -dname "CN=meinedomain.de, OU=MeineGruppe, O=MeineOrganisation, L=MeineStadt, S=MeinBundesland, C=Meine Stadt" - Den CSR erzeugen, mit dem wir dann bei StartSSL unser Zertifikat beantragen
keytool -certreq -alias meinedomain -sigalg SHA1withRSA -keystore keystore.jks -file meinedomain.csr - Mit der Datei meinedomain.csr bekommen wir von StartSSL unser Zertifikat. Das speichern wir uns unter meinedomain.crt (alles inklusive -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----)
Dazu laden wir uns noch folgenden Dateien von StartSSL herunter: ca.crt und sub.class1.server.crt - Die 3 Zertifikate werden nun in unseren keystore importiert
keytool -import -alias startsslcert -keystore keystore.jks -trustcacerts -file ca.crt -v
keytool -import -alias startsslsub -keystore keystore.jks -trustcacerts -file sub.class1.server.crt
keytool -import -alias meinedomain -keystore keystore.jks -trustcacerts -file signed_test_server.cer - Als nächstes kopiert man sich die cacerts.jks (domain1/config/cacerts.jks) in das temporäre Verzeichnis und importiert dort noch einmal die beiden Zertifikate von StartSSL
keytool -import -alias startsslcert -keystore cacerts.jks -trustcacerts -file ca.crt -v
keytool -import -alias startsslsub -keystore cacerts.jks -trustcacerts -file sub.class1.server.crt - Nun sichert man sich die folgenden Dateien aus dem Verzeichnis domain1/config: keystore.jks, cacerts.jks und config.xml und ersetzt sie mit den beiden jks-Dateien aus dem temporären Verzeichnis. Dann ersetzt man noch alle Vorkommen von "s1as" durch "meindomain" in der config.xml.
- Jetzt braucht man nur noch den Server neu starten und schon sollte alles funktionieren.
Kommentare
Kommentar veröffentlichen