検索 
       
[V5] Apache側で作成したSSL証明書(PEM形式)をProselfで使用したい。

弊社では動作保証せず、自己責任となってはしまいますが以下の手順でキーストアに変換し、使用することは可能です。
※注意 JDK1.6以降で可能です。

本手順では、

キー:certs.key
SSL証明書:server.pem
中間証明書:ca.crt
として記載いたします。

  1. キー証明書ペアをpkcs12形式に変換
    ※キー証明書ペアをpkcs12形式に変換する際にパスワードをchangeitとしてください。
    # openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
    Enter Export Password: changeit
    Verifying - Enter Export Password:changeit
    ※各ファイル名はお客様環境によって変更してください。

    【インポートする中間証明書が複数ある場合】
    インポートする中間証明書が複数ある場合は、各証明書ファイルを1ファイルに連結する必要があります。
    証明書ファイルの連結方法は以下となります。
    ※ここでは中間証明書1をca1.crt、中間証明書2をca2.crtとして説明します。
    (証明書の階層の深さは中間証明書1、2の順に深くなります。)

    ■Linux OSの場合
    以下コマンドを実行し、証明書ファイルを連結します。
    # cat ca2.crt ca1.crt > ca.crt

    証明書ファイルを連結後以下コマンドを実行します。
    # openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
    Enter Export Password: changeit
    Verifying - Enter Export Password:changeit

    ■Windows OSの場合
    ca2.crtをテキストエディタ等で開き、「-----END CERTIFICATE-----」の次の行に
    ca1.crt内の内容を貼り付けます。
    編集後ファイル名をca.crtとして保存し以下コマンドを実行します。
    C:\> openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
    Enter Export Password: changeit
    Verifying - Enter Export Password:changeit
  2. pkcs12形式をキーストア形式に変換
    # keytool -importkeystore -srckeystore certs.p12 -srcstoretype pkcs12 -destkeystore certs.jks -deststoretype jks
    出力先のキーストアのパスワードは「changeit」にしてください。
  3. certs.jksのエイリアス及び証明書チェーンの長さ確認
    # keytool -list -v -keystore certs.jks
    を実行し、「別名:」、「証明書チェーンの長さ:」に表示されている内容を確認します。
    「別名:」は4.の作業時に必要となります。
    「証明書チェーンの長さ:」に表示されている内容がインポートする中間証明書の数 + SSL証明書の数と同じであることを確認します。
  4. certs.jksのエイリアスを変更
    # keytool -changealias -alias XXXXXXX -destalias tomcat -keystore certs.jks
    を実行します。
    ※XXXXXXXの部分は3.で確認したエイリアスに置き換えてください。
  5. certs.jksをkeystore.sslにリネームしProselfインストールフォルダ/conf にコピーします。
    ※あらかじめkeystore.sslをバックアップしてください。
  6. Proselfを再起動します。

(最終更新日:2023/11/22)