Apache Tomcat - Installatie certificaat

Na uitgifte ontvang je het certificaat per e-mail. Je kunt het certificaat ook downloaden in het Control Panel.

Het certificaatbestand heeft dezelfde naam als de domeinnaam waarvoor het is aangevraagd, bijvoorbeeld www_sslcertificaten_nl.crt,

Apache Tomcat maakt gebruik van het java keytool-commando om certificaten te beheren. Met de handleiding Java Keytool - Installatie certificaat kan met keytool het toegezonden certificaat worden geïnstalleerd.

Nadat het certificaat is geïnstalleerd, moet de server nog zodanig geconfigureerd worden dat deze gebruik gaat maken van de keystore. Hiervoor moet de SSL Connector geconfigureerd worden.

Configuratie SSL Connector

  1. Start Tomcat.
  2. Browse naar http://localhost:8080/admin en log in met een administrator-account.
  3. Selecteer aan de linkerkant Service (Java Web Services Developer Pack).
  4. Kies uit het dropdown menu rechts de optie Create New Connector.
  5. Kies HTTPS in het veld Type.
  6. Vul 443 in in het Port veld.
  7. Vul de gegevens in van de keystore; indien hiervoor onze handleiding is aangehouden zal deze staan in /etc/ssl/cert/ en de naam hebben van het domein, bijvoorbeeld www_sslcertificaten_nl.jks.
  8. Klik Save om de nieuwe connector op te slaan, en klik vervolgens op Commit Changes om het weg te schrijven naar server.xml.
  9. Herstart Tomcat. Het certificaat is nu actief.

Configuratie server.xml

Let op: deze stappen alleen doorlopen wanneer een nieuwe (.jks) is aangemaakt. Wanneer er een nieuwe keystore is aangemaakt, moet de server.xml nog aangepast worden. In de server.xml staan de onderstaande regels:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS"
keystoreFile="locatie/uw_keystore.jks"
keyAlias="uw_alias" keystorePass="uw_wachtwoord" />

Pas hier de KeystoreFile, KeyAlias en KeystorePass aan. De KeystoreFile moet verwijzen naar het nieuwe (.jks) file. Herstart tot slot Tomcat.

Configuratie server.xml met PKCS12 bestand

Afgezien van een java keystore kunt u in Tomcat ook gebruik maken van een PKCS12 (.pfx) keystore.
Hiertoe maak je eerst met OpenSSL een PFX file aan van je certificaat, de private key en de root en intermediate certificaten.
Het te gebruiken commando hiervoor is:

<openssl pkcs12 -export -in www_sslcertificaten_nl.crt -inkey private_key.key -out export.p12 -name tomcat -CAfile Bundle.crt -caname root -chain

Vervang hier de dikgedrukte bestanden door je eigen bestanden, OpenSSL zal zelf vragen naar een wachtwoord voor jouw bestand.
De configuratie in server.xml ziet er als volgt uit:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" 
keystoreFile="locatie/export.p12"
keystorePass="uw_wachtwoord"
keystoreType="PKCS12" />

Pas hier de KeystoreFile en KeystorePass aan. De KeystoreFile moet verwijzen naar het nieuwe (.p12) file. Herstart tot slot Tomcat.

Alle stappen voor de installatie van het certificaat zijn voltooid. Zorg dat de certificaatbestanden goed zijn beveiligd, en bewaar een backup van de private key en het certificaat op een veilige plek. Installeer ook de root en intermediate certificaten. Controleer met de SSLCheck of het certificaat juist is geinstalleerd en zorg voor een optimale configuratie van het SSL certificaat met deze tips en instellingen.

Aarzel niet om contact met ons op te nemen bij problemen of foutmeldingen, wij helpen je graag!

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.