Как установить SSL-сертификат на GlassFish

В этом руководстве Вы узнаете, как установить SSL-сертификат на GlassFish. Если Вы еще не сгенерировали код CSR (Certificate Signing Request), в первой части руководства Вы узнаете, как сгенерировать код CSR на GlassFish. Наконец, в последнем сегменте Вы узнаете, где купить лучший SSL-сертификат для Вашего сервера GlassFish.

Оглавление

1. Сгенерируйте код CSR для GlassFish
2. Установите SSL-сертификат на GlassFish
3. Протестируйте Вашу установку SSL
4. Где купить SSL-сертификат для GlassFish?

Сгенерируйте код CSR для GlassFish

Первый важный шаг, который Вам необходимо выполнить при работе с SSL-сертификатом, – это создать CSR-код и отправить его в Центр сертификации (Ваш SSL-провайдер). CSR – это блок текста, содержащий подробную информацию о Вашем сайте и компании. Центры сертификации используют его для проверки подлинности Вашего сайта или/и компании. Если Ваш CSR содержит ошибочную или устаревшую информацию, ЦС не будет подписывать Ваш сертификат.

У Вас есть два варианта:

1. Используйте наш Генератор CSR, чтобы создать CSR автоматически.
2. Следуйте нашему пошаговому руководству о том, как генерировать CSR в GlassFish.

Вы можете открыть Ваш файл CSR с помощью любого текстового редактора на Ваш выбор (например, Блокнот). Перед тем, как отправить его в Ваш ЦС, мы рекомендуем сделать последнюю проверку на возможные опечатки или ошибки. Используйте наш инструмент декодера, чтобы проверить Ваш CSR.

В зависимости от типа проверки Вашего сертификата, Вам придется подождать от нескольких минут до пары рабочих дней, пока файлы Вашего SSL-сертификата окажутся в Вашем почтовом ящике. Получив их, Вы можете продолжить установку SSL.

Установите SSL-сертификат на GlassFish

Перед установкой подготовьте файлы Вашего SSL-сертификата. Ваш ЦС отправил их на указанный Вами адрес электронной почты. Обычно файлы находятся в архивной папке.

Вам нужно будет импортировать файлы сертификатов в хранилище ключей GlassFish, содержащее Ваш закрытый ключ. Это то же самое хранилище ключей, которое Вы использовали для создания своего CSR.

Шаг 1. Извлеките все файлы

Первым шагом будет извлечение всех файлов из папки .zip, которую Вы получили от Вашего SSL-провайдера. Он должен содержать файлы Ваших SSL-сертификатов в форматах PEM (.crt и .ca-bundle) или PKCS#7 (файлы .p7b и .cer).

Шаг 2. Загрузите файлы SSL на Ваш сервер GlassFish.

Далее Вам необходимо загрузить файлы SSL на Ваш сервер GlassFish в одном из форматов, указанных в первом шаге. Формат PEM требует двух команд для импорта файлов, а PKCS7#7 – всего одной.

Выберите один из форматов и выполните загрузку:

PEM (.crt, .ca-bundle)

Если Вы выбрали формат PEM, Вам нужно будет сначала загрузить файлы CA Bundle, а затем файл Вашего основного SSL-сертификата. Введите следующую команду, чтобы импортировать CA Bundle:

keytool -import -trustcacerts -alias ca -file file.ca-bundle -keystore mykeystore.jks

Вы можете использовать любое имя для псевдонима, если оно отличается от псевдонима хранилища ключей. После CA Bundle Вы можете импортировать сам SSL-сертификат. Используйте приведенную ниже команду, чтобы загрузить его на свой сервер:

keytool -import -trustcacerts -alias myalias -file file.crt -keystore mykeystore.jks

Здесь имя псевдонима должно совпадать с псевдонимом хранилища ключей.

PKCS#7 (.p7b, .cer)

Если Вы выбрали формат PKCS#7, используйте следующую команду, чтобы загрузить все файлы сразу:

keytool -import -trustcacerts -alias myalias -file file.p7b -keystore mykeystore.jks

Команда запросит пароль Вашего хранилища ключей.

Атрибут myalias должен быть идентичен тому, который установлен для Вашего хранилища ключей. Если Вы не помните свой псевдоним, Вы можете посмотреть его с помощью команды keytool -list -v -keystore mykeystore.jks.

Шаг 3. Импортируйте в стандартное хранилище ключей GlassFish

Когда Ваше хранилище ключей будет готово, Вам следует импортировать его в хранилище ключей GlassFish по умолчанию. Вы можете найти его здесь: glassfish4/glassfish/domains/domain1/config/keystore.jks

Примечание: GlassFish по умолчанию создает домен1. Если Вы добавили новый домен в GlassFish, используйте его директорию вместо директории по умолчанию.

Вот команда для импорта Вашего хранилища ключей в хранилище GlassFish:

keytool -importkeystore -srckeystore mykeystore.jks -destkeystore keystore.jks

Шаг 4. Введите пароль для обоих хранилищ ключей

Пароль для хранилищ ключей GlassFish должен быть таким же, как и пароль мастера GlassFish для домена. Если пароли GlassFish, хранилища ключей и закрытого ключа не совпадают, Ваш SSL-сертификат не будет работать.

Шаг 5. Обновите конфигурацию GlassFish

После успешного импорта Вам необходимо обновить конфигурацию GlassFish, чтобы включить новый SSL-сертификат. И снова у Вас есть два варианта. Вы можете выполнить это действие прямо из браузера через GlassFish Administration Console или вручную, отредактировав файл domain.xml.

Консоль администрирования GlassFish

Если Вы решили пойти по пути консоли администратора, сначала Вам нужно включить функцию безопасного администрирования для Вашего домена. Для этого выполните следующую команду:

asadmin enable-secure-admin yoursite.com

Не забудьте заменить yoursite.com на Ваше настоящее доменное имя.

После включения Вы можете подключиться к GlassFish Administration Console через https://yoursite.com:4848.

Проигнорируйте предупреждение о самоподписанном SSL-сертификате и продолжите просмотр консоли. Перейдите в раздел Конфигурации > server-config > HTTP Service > HTTP Listeners > http-listener-2:

Перейдите на вкладку “SSL” и в поле Certificate Nickname введите псевдоним Вашего сертификата. Это то же самое, что и псевдоним Вашего хранилища ключей.

Переключитесь обратно на вкладку Общие и измените Порт HTTPS на привычный 443. По умолчанию GlassFish использует порт 8181.

Иногда не все ссылки конфигурации обновляются до нового псевдонима в Консоли администрирования. Если это случилось с Вами, не волнуйтесь, Вы можете обновить их вручную в файле domain.xml.

Domain.xml

Domain.xml – это альтернативный способ настройки Вашего SSL-сертификата в GlassFish. Файл domain.xml находится в папке glassfish4/glassfish/domains/domain1/config/domain.xml.

Чтобы выполнить безопасное обновление, мы рекомендуем остановить службу GlassFish для Вашего домена и только после этого открыть файл Domain.xml. Чтобы остановить GlassFish, выполните следующую команду:

asadmin stop-domain yoursite.com

Замените yoursite.com на Ваше доменное имя.

Теперь Вы можете открыть файл domain.xml с помощью Вашего любимого текстового редактора. Используйте функцию поиска Ctrl+F, чтобы найти атрибут slas, псевдоним SSL-сертификата по умолчанию в GlassFish. Затем замените slas на псевдоним Вашего сертификата. В этой статье мы использовали myalias в качестве псевдонима нашего сертификата.

Если Вы обновите все псевдонимы до своего псевдонима, Вы также установите SSL-сертификат для консоли администрирования GlassFish.

Сохраните файл domain.xml и выполните команду asadmin start-domain yoursite.com, чтобы запустить Ваш домен.

Поздравляем, Вы успешно установили SSL-сертификат на сервер GlassFish.

Протестируйте Вашу установку SSL

После установки SSL-сертификата на GlassFish Вы можете воспользоваться одним из этих замечательных SSL-инструментов, чтобы проверить статус Вашей установки. Мгновенное сканирование выявит все потенциальные ошибки и уязвимости, которые могут повлиять на работу Вашего сертификата.

Где купить SSL-сертификат для GlassFish?

Лучшее место для покупки SSL-сертификата для GlassFish – это SSL Dragon. Мы предлагаем невероятно низкие цены и регулярные скидки на весь ассортимент наших SSL-продуктов. Мы сотрудничаем с лучшими SSL-брендами на рынке, чтобы обеспечить Вашему сайту самое современное шифрование. Все наши SSL-сертификаты совместимы с GlassFish.

Чтобы помочь Вам выбрать идеальный SSL-сертификат для Вашего сайта, мы создали два эксклюзивных SSL-инструмента. Нашему мастеру SSL Wizard требуется всего несколько секунд, чтобы найти наилучший SSL-сертификат для Вашего проекта и бюджета, а расширенный фильтр сертификатов позволяет Вам сортировать и сравнивать различные SSL-сертификаты по цене, проверке и возможностям.

Если Вы обнаружили какие-либо неточности или у Вас есть что добавить к этим инструкциям по установке SSL, пожалуйста, не стесняйтесь присылать нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.