Laatst bijgewerkt op 28 sep. 2023 10:23:10.
Categorie:
Alles over SSL certificaten
Dit artikel toont u hoe een SSL certificaat dat u van de certificaatuitgever ontving te installeren op uw Tomcat webserver. Als u nog geen Certificate Signing Request (CSR) bestand aanmaakt, en nog geen certificaat bestelde, kan u het artikel « Hoe een SSL certificaataanvraag maken met keytool? » lezen.
Vooraleer u Tomcat configureert, moet het SSL certificaat aanwezig zijn in de Java keystore van de server. De instructies voor de import via keytool vindt u in het artikel « Hoe een SSL certificaat installeren met keytool? ».
Om Tomcat SSL connecties te laten aanvaarden, dient u eerst een nieuwe SSL connector te definiëren in de serverconfiguratie.
Zoek Tomcat's server.xml bestand, gewoonlijk in de de conf directory van uw Tomcat installatie, en open het in een teksteditor.
Zoek naar een connector die luistert op poort 443 or 8443. Als u nog niet eerder een SSL website op Tomcat configureerde, zal deze waarschijnlijk in commentaar staan. Verwijder de commentaartekens en wijzig de connector met de parameters van uw keystore:
<Connector<strong> port="443"</strong> maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" <strong>scheme="https"</strong> <strong>secure="true"</strong> <strong>SSLEnabled="true"</strong> clientAuth="false" <strong>sslProtocol="TLS"</strong> keyAlias="www_server_com" <strong>keystoreFile="/etc/certs/www_server_com.jks"</strong> <strong>keystorePass="your_keystore_password"</strong> />
Bewaar de wijzigingen aan het server.xml bestand.
Herstart Tomcat om uw SSL connector configuratie in te laden.
Als uw certificaat niet correct in een browser weergegeven wordt, controleer dan of de webserver de volledige keten van certificaten naar de browser stuurt, met het volgende commando, waarbij u www.kinamo.be vervangt door uw eigen domeinnaam:
openssl s_client -connect www.kinamo.be:443 ... Certificate chain 0 s:/1.3.6.1.4.1.311.60.2.1.3=BE/businessCategory=Private Organization/serialNumber=0861.077.215/C=BE/ST=Antwerpen/L=antwerpen/O=Kinamo NV/CN=www.kinamo.be i:/C=US/O=GeoTrust Inc./CN=GeoTrust Extended Validation SSL CA - G2 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Extended Validation SSL CA - G2 i:/C=US/O=GeoTrust Inc./CN=GeoTrust Primary Certification Authority
U zou een reeks certificaten moeten te zien krijgen, te beginnen met het uwe, en eindigend met het root certificaat van de uitgever.
Surf naar de testpagina van Qualys SSL Labs om na te gaan of uw webserver en uw certificaat correct en veilig geconfigureerd zijn.
Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!
