Quá trình cài đặt hơi khác tùy thuộc vào định dạng của chứng chỉ mà bạn nhận được từ một Certificate Authority.
1) PEM
Nếu SSL dưới dạng PEM, bạn sẽ cần phải thêm các CA root, CA intermediate, và giấy chứng nhận cho tên miền của bạn trong keystore , theo thứ tự này - bắt đầu từ CA root và hoàn thiện với các chứng chỉ được cấp cho tên miền.
Lệnh cho Import một chứng chỉ Root CA vào keystore:
keytool -import -trustcacerts -alias root -file RootCA.crt -keystore yourkeystore.jks
Lệnh cho Import một chứng chỉ CA intermediate vào keystore:
keytool -import -trustcacerts -alias intermediate -file Intermediate.crt -keystore yourkeystore.jks
Quan trọng! Nếu bạn nhận được một số giấy chứng nhận intermediate certificates từ Certificate Authority, nhập từng file một với bí danh khác nhau.
Cuối cùng, bạn cần phải Import giấy chứng nhận cho tên miền của bạn.
keytool -import -trustcacerts -alias tomcat -file yourcertificate.crt -keystore yourkeystore.jks
Các bí danh cho giấy chứng nhận tên miền của bạn sẽ được giống như một trong những bạn sử dụng khi tạo keystore với khóa riêng. Nếu bạn không chỉ định bí danh trong quá trình tạo keystore, giá trị mặc định sẽ là 'mykey'.
1) PKCS7
Nếu giấy chứng nhận đã nhận được ở định dạng PKCS7 (thường nó có *.cer hoặc phần mở rộng *.p7b), trong đó bao gồm các chứng chỉ được cấp cho bạn tên miền với các chứng chỉ CA, bạn cần phải nhập nó trong keystore:
keytool -import -trustcacerts -alias tomcat -file yourcertificate.p7b -keystore yourkeystore.jks
Nếu chứng chỉ được nhập thành công, và keystore được hoàn tất, bạn sẽ thấy thông điệp:
“Certificate reply was installed in keystore”
Để kiểm tra các chứng chỉ đó được thêm vào trong keystore chạy lệnh dưới đây:
keytool -list -keystore yourkeystore.jks -v
Bạn sẽ thấy chi tiết của giấy chứng nhận nhập khẩu vào keystore :
Trên ảnh chụp màn hình, chuỗi gồm 2 chứng chỉ: CA root và SSL, được tạo ra cho mục đích thử nghiệm. Ngày nay chuỗi thường có ít nhất ba giấy chứng nhận: root, intermediate và certificate.
Để xem lại các chứng chỉ bổ sung vào keystore với lệnh sau đây:
keytool -list -rfc -keystore yourkeystore.jks
Một khi các keystore được hoàn tất, bạn sẽ cần phải mô tả nó trong cấu hình của tomcat.
Thông thường tập tin cấu hình của tomcat được đặt tên server.xml.
Mở bằng 1 chương trình edit văn bản và tạo thiết lập như dưới đây:
<Connector port="443" protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https" secure="true” clientAuth="false"
sslProtocol="TLS" keystoreFile="/your_path/yourkeystore.jks"
keystorePass="password_for_your_key_store" >
Khởi động lại tomcat để áp dụng các thay đổi và làm SSL hoạt động.
Xin chúc mừng! Chứng chỉ SSL đã được cài đặt thành cộng cho trang web của bạn. Trang web đã có thể truy cập bằng https://
Sau khi cài đặt thành công, bạn có thể kiểm tra lại cert đã được install đúng hay chưa bằng công cụ sau:
https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
