検索 
         
[V4] [V5] Apache側で作成したサーバー証明書(PEM形式)をProselfで使用したい。

弊社では動作保証せず、自己責任となってはしまいますが以下の手順でキーストアに変換し、使用することは可能です。

※注意 JDK1.6以降で可能です。

本手順では、
キー:certs.key
SSL証明書:server.pem
中間証明書:ca.crt
として記載いたします。

1.キー証明書ペアをpkcs12形式に変換
※キー証明書ペアをpkcs12形式に変換する際にパスワードをchangeitとしてください。
# openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
Enter Export Password: changeit
Verifying - Enter Export Password:changeit
※各ファイル名はお客様環境によって変更してください。

【インポートする中間証明書が複数ある場合】
インポートする中間証明書が複数ある場合は、各証明書ファイルを1ファイルに連結する必要があります。
証明書ファイルの連結方法は以下となります。
※ここでは中間証明書1をca1.crt、中間証明書2をca2.crtとして説明します。
(証明書の階層の深さは中間証明書1、2の順に深くなります。)

■Linux OSの場合
以下コマンドを実行し、証明書ファイルを連結します。
# cat ca2.crt ca1.crt > ca.crt

証明書ファイルを連結後以下コマンドを実行します。
# openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
Enter Export Password: changeit
Verifying - Enter Export Password:changeit

■Windows OSの場合
ca2.crtをテキストエディタ等で開き、「-----END CERTIFICATE-----」の次の行に
ca1.crt内の内容を貼り付けます。
編集後ファイル名をca.crtとして保存し以下コマンドを実行します。
C:\> openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
Enter Export Password: changeit
Verifying - Enter Export Password:changeit

2.pkcs12形式をキーストア形式に変換
# keytool -importkeystore -srckeystore certs.p12 -srcstoretype pkcs12 -destkeystore certs.jks -deststoretype jks
出力先のキーストアのパスワードは「changeit」にしてください。

3.certs.jksのエイリアス及び証明書チェーンの長さ確認
# keytool -list -v -keystore certs.jks
を実行し、「別名:」、「証明書チェーンの長さ:」に表示されている内容を確認します。
「別名:」は4.の作業時に必要となります。
「証明書チェーンの長さ:」に表示されている内容がインポートする中間証明書の数 + SSL証明書の数と同じであることを確認します。

4.certs.jksのエイリアスを変更
# keytool -changealias -alias XXXXXXX -destalias tomcat -keystore certs.jks
(XXXXXXXの部分は3.で確認したエイリアスに置き換えてください。)
を実行します。

5.certs.jksをkeystore.sslにリネームしProselfインストールフォルダ/conf に
コピーします
(あらかじめkeystore.sslをバックアップしてください。)

6.Proselfを再起動します。

(最終更新日:2019/02/04)