Comment mettre à jour un Tomcat fichier de clés avec un renouvellement de certificat SSL?

Il ya environ un an, j'ai obtenu un certificat SSL auprès de GoDaddy et l'a installé sur un serveur Tomcat en suivant leurs instructions. Pas de questions.

Le certificat est sur le point d'expirer j'ai donc renouvelé. GoDaddy m'a envoyé trois .cer fichiers. Je ne vois pas quoi faire avec eux.

Si je créer une nouvelle marque de magasin de clés et d'essayer d'importer les fichiers comme je l'ai fait la première fois, il ne fonctionne pas. Je suppose que c'est parce que le fichier de clés n'ont pas ma clé privée originale.

Si j'essaie d'importer de nouveaux certificats dans l'ancien fichier, il ne permet pas ceci.

Si je prends l'ancien fichier et de supprimer certains ou tous les anciens certificats et de les remplacer par les nouveaux, keytool permet, mais le fichier de clés n'a pas de travail quand je l'installer sur mon serveur.

Je ne sais pas quoi faire ensuite.

Avez-vous la renouveler avec de nouvelles clés (avez-vous envoyer un nouveau RSE), ou ont-ils tout simplement ré-émission d'un nouveau certificat avec de nouvelles dates à l'aide de la même clé publique?
Au départ, j'ai dit à nouveau à l'aide de la clé d'origine. Plus tard, j'ai trouvé une option de re-clé avec une nouvelle matière de RSE. Après avoir fait cela, je pouvais le faire fonctionner à nouveau. Je suppose que c'est OK, juste pour vous rappeler de le faire l'année prochaine.

OriginalL'auteur user332000 | 2014-05-20

  1. 5

    - Je utiliser Let's encrypt certificats (gratuit, signé). J'ai créé un script automatisé pour mettre à jour le fichier de clés, vous pouvez l'utiliser comme source d'inspiration ou de se déplacer vers LE et utilisez-le comme il est.
    Plus d'infos ici: http://blog.ivantichy.cz/blogpost/view/74

    #!/bin/bash
#author Ivan Tichy
#Please modify these values according to your environment
certdir=/etc/letsencrypt/live/jira.ivantichy.cz/#just replace the domain name after /live/
keytooldir=/opt/atlassian/jira/jre/bin/#java keytool located in jre/bin
mydomain=jira.ivantichy.cz #put your domain name here
[email protected] #your email
networkdevice=eth0 #your network device  (run ifconfig to get the name)
keystoredir=/home/jira/.keystore #located in home dir of user that you Tomcat is running under - just replace jira with your user you use for Tomcat, see ps -ef to get user name if you do not know

#the script itself:
cd /var/git/letsencrypt
git pull origin master
iptables -I INPUT -p tcp -m tcp --dport 9999 -j ACCEPT
iptables -t nat -I PREROUTING -i $networkdevice -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999

./letsencrypt-auto certonly --standalone --test-cert -d $mydomain --standalone-supported-challenges http-01 --http-01-port 9999 --renew-by-default --email $myemail --agree-tos
#./letsencrypt-auto certonly --standalone -d $mydomain --standalone-supported-challenges http-01 --http-01-port 9999 --renew-by-default --email $myemail --agree-tos

iptables -t nat -D PREROUTING -i $networkdevice -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9999
iptables -D INPUT -p tcp -m tcp --dport 9999 -j ACCEPT

$keytooldir/keytool -delete -alias root -storepass changeit -keystore $keystoredir
$keytooldir/keytool -delete -alias tomcat -storepass changeit -keystore $keystoredir

openssl pkcs12 -export -in $certdir/fullchain.pem -inkey $certdir/privkey.pem -out $certdir/cert_and_key.p12 -name tomcat -CAfile $certdir/chain.pem -caname root -password pass:aaa

$keytooldir/keytool -importkeystore -srcstorepass aaa -deststorepass changeit -destkeypass changeit -srckeystore $certdir/cert_and_key.p12 -srcstoretype PKCS12 -alias tomcat -keystore $keystoredir
$keytooldir/keytool -import -trustcacerts -alias root -deststorepass changeit -file $certdir/chain.pem -noprompt -keystore $keystoredir


# restart your Tomcat server – mine is running JIRA
service jira stop
service jira start

    OriginalL'auteur Ivan Tichy

  2. 4

    - Je utiliser un outil graphique qui rendent très facile de magasin de clés de gestion. Il est appelé portecle et peut être trouvé ici. Lorsque vous recevez un nouveau certificat de GoDaddy, il suffit d'ouvrir le fichier de clés dans portecle, sélectionnez votre ancien (sur le point d'expirer) certificat, cliquez droit sur elle et l'importation de la nouvelle "la réponse CA" (c'est à dire, votre certificat renouvelé). Puis enregistrez le fichier de clés et redémarrez tomcat.

    Merci. L'outil, Portecle, est très facile à utiliser et a été d'une grande aide 🙂
    Merci s'accoupler . Cela m'a sauvé la journée . Outil génial 🙂
    La nouvelle version 1.9 ne fonctionne pas pour moi . "Impossible d'établir la confiance pour la réponse CA" erreur lors de l'Importation réponse CA
    c'est parce que le certificat d'autorité de certification n'est pas déjà dans le fichier de clés, ou il n'est pas approuvé comme CA.
    Mon certificat obtenu expiré hier. L'année dernière , il a travaillé à la suite de votre procédure. Ce que j'ai fait ici est de l'importation du fichier de clés qui est valide . Dois-je générer un nouveau de la rse et de l'envoyer à godaddy lors du renouvellement du certificat ?

    OriginalL'auteur eppesuig