As instruções a seguir o guiarão pelo processo de instalação do certificado nos servidores Java: Tomcat/Glassfish.
Você receberá um arquivo .zip contendo 4 certificados da Sectigo. Estes devem ser importados na ordem correta:
Certificado Raiz - USERTrustRSACertificationAuthority.crt
Raiz intermediária 1 - SectigoPublicServerAuthenticationRootR46_USERTrust.crt *
Raiz intermediária 2 - SectigoPublicServerAuthenticationCADVR36.crt ou SectigoPublicServerAuthenticationCAOVR36.crt ou SectigoPublicServerAuthenticationCAEVR36.crt (depende do tipo do seu certificado. Verifique no e-mail em que o certificado foi enviado.)
Seu certificado - seu_dominio.crt
* os nomes podem ser diferentes, verifique no e-mail no qual o certificado foi enviado
Para estas instruções, substitua o nome 'nome.keystore' que usamos neste exemplo com o nome da sua keystore.
Use o comando keytool para importar os certificados conforme segue:
keytool -import -trustcacerts -alias root -file USERTrustRSACertificationAuthority.crt -keystore nome.keystore
Faça o mesmo processo para importar os certificados intermediários da Sectigo usando o mesmo comando keytool:
keytool -import -trustcacerts -alias INTER -file SectigoPublicServerAuthenticationRootR46_USERTrust.crt -keystore nome.keystore
keytool -import -trustcacerts -alias INTER2 -file SectigoPublicServerAuthenticationCADVR36.crt -keystore nome.keystore
Atenção: O nome do arquivo pode ser um desses:
SectigoPublicServerAuthenticationCADVR36.crt
SectigoPublicServerAuthenticationCAOVR36.crt
SectigoPublicServerAuthenticationCAEVR36.crt
(depende do tipo do seu certificado. Verifique no e-mail em que o certificado foi enviado.)
Faça agora o mesmo processo para importar o seu certificado usando o comando keytool. Se você está usando um alias, inclua o comando alias no string.
keytool -import -alias yyy -file seucertificado.crt -keystore nome.keystore
(onde yyy é o alias especificado na geração do CSR)
Será solicitada uma senha.
Digite a senha: (Esta senha foi gerada durante a geração do CSR)
Informações como as mostradas abaixo serão exibidas, e você deverá informar se deseja confiar neste certificado. O default é usar 'y' ou 'yes'.
Owner: CN= Root, O=Root, C=US
Issuer: CN=Root, O=Root, C=US
Serial number: 111111111111
Valid from: Fri JAN 01 23:01:00 GMT 1990 until: Thu JAN 01 23:59:00 GMT 2050
Certificate fingerprints:
MD5: D1:E7:F0:B2:A3:C5:7D:61:67:F0:04:CD:43:D3:BA:58
SHA1: B6:GE:DE:9E:4C:4E:9F:6F:D8:86:17:57:9D:D3:91:BC:65:A6:89:64
Trust this certificate? [no]:
Em seguida aparecerá a seguinte mensagem:
Certificate was added to keystore (Certificado foi adicionado ao keystore). Todos os certificados agora estão carregados e o certificado raiz correto será apresentado.
Configurando o server.xml
- Abra o arquivo server.xml do seu Tomcat (ele normalmente está no diretorio conf na raíz)
- Encontre o "connector" que será protegido com o novo keystore (normalmente começa com "<Connector port="443" ) e descomente se for necessário.
- Especifique o seu keystore e a senha na configuração do "connector". Ele deverá ficar parecido com o o exemplo abaixo:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
scheme="https" secure="true"
minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
keyAlias="alias_do_keystore"
keystoreFile="/caminho_para_o_keystore/nome.keystore"
keystorePass="senha_do_keystore"
clientAuth="false" sslProtocol="TLS" />
- Salve o server.xml
- Reinicie o Tomcat
