-
Apache側で作成したSSL証明書(PEM形式)をProselfで使用したい。 弊社では動作保証せず、自己責任となってはしまいますが以下の手順でキーストアに変換し、使用することは可能です。
※注意 JDK1.6以降で可能です。
本手順では、
キー:certs.keyとして記載いたします。
SSL証明書:server.pem
中間証明書:ca.crt
-
キー証明書ペアをpkcs12形式に変換
※キー証明書ペアをpkcs12形式に変換する際にパスワードをchangeitとしてください。
# openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt※各ファイル名はお客様環境によって変更してください。
Enter Export Password: changeit
Verifying - Enter Export Password:changeit
【インポートする中間証明書が複数ある場合】
インポートする中間証明書が複数ある場合は、各証明書ファイルを1ファイルに連結する必要があります。
証明書ファイルの連結方法は以下となります。
※ここでは中間証明書1をca1.crt、中間証明書2をca2.crtとして説明します。
(証明書の階層の深さは中間証明書1、2の順に深くなります。)
■Linux OSの場合
以下コマンドを実行し、証明書ファイルを連結します。
# cat ca2.crt ca1.crt > ca.crt
証明書ファイルを連結後以下コマンドを実行します。
# openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
Enter Export Password: changeit
Verifying - Enter Export Password:changeit
■Windows OSの場合
ca2.crtをテキストエディタ等で開き、「-----END CERTIFICATE-----」の次の行に
ca1.crt内の内容を貼り付けます。
編集後ファイル名をca.crtとして保存し以下コマンドを実行します。
C:\> openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
Enter Export Password: changeit
Verifying - Enter Export Password:changeit
-
pkcs12形式をキーストア形式に変換
# keytool -importkeystore -srckeystore certs.p12 -srcstoretype pkcs12 -destkeystore certs.jks -deststoretype jks出力先のキーストアのパスワードは「changeit」にしてください。
-
certs.jksのエイリアス及び証明書チェーンの長さ確認
# keytool -list -v -keystore certs.jksを実行し、「別名:」、「証明書チェーンの長さ:」に表示されている内容を確認します。
「別名:」は4.の作業時に必要となります。
「証明書チェーンの長さ:」に表示されている内容がインポートする中間証明書の数 + SSL証明書の数と同じであることを確認します。
-
certs.jksのエイリアスを変更
# keytool -changealias -alias XXXXXXX -destalias tomcat -keystore certs.jksを実行します。
※XXXXXXXの部分は3.で確認したエイリアスに置き換えてください。
-
certs.jksをkeystore.sslにリネームしProselfインストールフォルダ/conf にコピーします。
※あらかじめkeystore.sslをバックアップしてください。
-
Proselfを再起動します。
(最終更新日:2023/11/22) -
キー証明書ペアをpkcs12形式に変換