Tags voor dit FAQ item:
CSR Java Keytool Tomcat

Help ons door dit artikel te beoordelen!

Geef als eerste je beoordeling!

Keytool - SSL certificaataanvraag (CSR) genereren

Laatste bijgewerkt: 14/01/2016

Keytool is een utility die toelaat om keystores, public and private keys, en SSL certificaten voor Java servers zoals Tomcat of JBoss te beheren. Certificaten en sleutels worden bewaard in een beveiligde keystore. Dit artikel toont u hoe een Certificate Signing Request bestand aan te maken voor een SSL certificaat. Als u reeds een SSL certificaat ontving van uw certificaatuitgever, kan u « Hoe een SSL certificaat installeren met keytool? » raadplegen.

Verbind naar de server met SSH. Als u op Windows werkt heeft u hiervoor een SSH-client nodig: de meest gebruikte en gratis client is PuTTY. Werkt u op een Mac OS X of Linux desktop, dan kan dit eenvoudig vanuit de terminal met het volgende commando, waarbij uw de servernaam uiteraard dient te vervangen door uw eigen server.

ssh -l root server.com

Na ingave van uw wachtwoord wordt de verbinding met de server tot stand gebracht.

De SSL certificaten, sleutels en aanvragen worden best in één enkele map bewaard, maar deze varieert nogal sterk naargelang uw distributie. In dit artikel gebruiken we /etc/ssl/certs.

Ga naar de map waar uw certificaten moeten bewaard worden:

[root@server ~]# cd /etc/ssl/certs
[root@server certs]#

Voor het volgende commando uit om een keystore en een private key aan te maken:

[root@server certs]# keytool -genkey -alias www_server_com -keyalg RSA -keysize 2048 -keystore www_server_com.jks

Als uw java bin directory niet in uw pad aanwezig is , krijgt u een command not found fout. In dat geval laat u het commando voorafgaan door $JAVA_HOME$ voor Linux / Unix / Mac OS X systemen, of %JAVA_HOME% voor Windows OS.

Vervang www_server_com met uw eigen servernaam in het voorgaande commmando.

Vervolgens wordt u gevraagd om een wachtwoord voor de keystore, dat minstens 6 lettertekens lang moet zijn.

Voer daarna uw bedrijfsgegevens in. Let er bij het invullen van de velden op dat de informatie exact overeenkomt met de WHOIS informatie die voor uw domein beschikbaar is, en eveneens met uw bedrijfsgegevens zoals gepubliceerd in de bijlagen van het Belgisch Staatsblad of zoals geregistreerd bij de Kamer van Koophandel voor Nederland.

What is your first and last name?: www.server.com
What is the name of your organizational unit?: Kinamo
What is the name of your organization?: Kinamo
What is the name of your City or Locality?: Antwerpen
What is the name of your State or Province?: Antwerpen
What is the two-letter country code for this unit?: BE
Is CN= www.server.com, OU= Kinamo, O= Kinamo, L= Antwerpen, ST= Antwerpen, C= BE correct?: Yes
Enter the password for  or enter "RETURN" if it is the same as the keystore password.

Let op: bij de vraag naar uv voornaam en achternaam dient u niet uw eigen naam in te vullen, maar de FQDN (fully qualified domain name) waarvoor u het SSL certificaat aanvraagt. Voor een wildcard certificaat CSR vult u *.server.com in.

Maak een Certificate Signing Request bestand aan mey volgend commando:

[root@server certs]# keytool -certreq -keyalg RSA -alias www_server_com -file www_server_com.csr -keystore www_server_com.jks

Voer uw keystore wachtwoord in wanneer erom gevraagrd wordt. Het bestand www_server_com.csr is nu terug te vinden in uw certificatendirectory.

U kan controleren of u wel de juiste gegevens in de CSR hebt ingevoerd door het volgende commando:

[root@server certs]# openssl req -in www.server.com.csr -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=BE, ST=Antwerpen, L=Antwerpen, O=Kinamo NV, CN=www.server.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d0:e1:e4:87:0a:82:6c:7d:4b:75:40:cf:91:b1:
                    21:81:9c:90:6e:b6:63:f4:4e:d6:40:7d:b1:3b:1b:
                    30:78:04:bf:3c:fc:32:c1:24:49:8b:7b:d3:d7:19:
                    2e:4b:9a:d1:54:c2:44:2a:7c:08:ba:39:bf:28:62:
                    e8:f7:bf:70:1c:c0:6c:0b:88:b9:24:af:8d:11:0a:
                    b5:7b:1f:b5:d5:ed:4a:56:8f:61:d3:d5:26:97:fa:
                    ab:5f:68:6b:1d:74:4e:af:80:f1:d9:a0:9d:e1:e3:
                    9d:4e:86:8d:51:ba:c3:f4:f3:49:df:1a:06:f1:b8:
                    a5:29:91:9d:7f:9c:3b:43:43:c5:bf:b0:5a:eb:35:
                    aa:3f:9a:45:a5:ad:f4:65:de:5c:d2:c0:cc:b6:e0:
                    b8:d9:ed:50:99:1f:ed:ca:bb:ef:b8:1c:c8:c0:84:
                    16:1f:35:11:fb:34:7b:99:02:9d:8e:7c:04:3d:fc:
                    0b:60:28:f8:a3:4d:ba:dc:c8:d3:a7:6a:6c:79:cf:
                    1a:6d:95:43:9d:c3:65:da:73:fc:53:22:1d:56:50:
                    11:02:79:5a:f6:58:4f:c0:e7:b0:50:51:72:37:50:
                    c8:d6:20:e0:cc:65:df:f0:fe:ea:80:15:cb:88:19:
                    9b:14:4f:58:5b:3c:fe:2c:48:09:dc:dc:53:62:a1:
                    ab:b9
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         09:75:3e:03:e6:14:39:2f:45:d7:51:26:ce:67:93:48:d6:da:
         5a:82:35:fe:0a:dc:d3:b7:31:a4:8b:8e:c2:a8:c8:ca:cb:0d:
         97:60:bc:bb:eb:2e:3c:d0:5d:b9:5e:c7:3e:31:13:28:4d:09:
         6a:71:d1:b4:9b:8e:bd:84:33:85:03:7d:1f:4d:44:b4:16:cf:
         39:6a:cc:d8:de:ae:ba:22:9e:9b:be:c6:bc:03:5b:77:d6:f3:
         2e:f2:4f:93:ad:af:96:14:c4:67:84:70:b9:ea:26:38:19:70:
         4d:12:3c:91:f7:5b:a7:05:e8:34:92:5d:5b:05:a3:d5:10:cd:
         38:4d:28:44:32:23:82:99:52:a5:37:93:ae:3b:49:dd:8f:44:
         74:1b:36:a6:2b:61:70:d3:9e:fc:2d:f9:9b:48:de:d2:ae:94:
         80:d3:be:e6:76:23:99:29:24:67:4d:b1:75:a9:0f:1f:6c:c8:
         15:5a:9d:b5:a4:b6:04:4f:45:10:96:42:e8:1f:00:b8:00:1b:
         07:8a:cd:4a:f9:9e:87:99:fc:9a:0a:ec:22:c5:51:3a:96:97:
         fd:89:a4:c2:a6:be:31:11:96:76:e8:5b:65:1d:b3:78:9d:aa:
         f6:4d:bb:04:ad:59:a8:c3:35:b2:50:0a:d9:17:58:db:ef:71:
         8e:1c:79:41

Toon nu de inhoud van het certificaataanvraagbestand:

[root@server certs]# cat www.server.com.csr
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Kopieer de CSR volledig over, inclusief begin- en eindregels, en voer deze in op het bestelformulier van Kinamo.