SAN Zertifikat mit Keytool fuer Tomcat oder IIS

SAN-Zertifikat mit Keytool für Tomcat oder IIS

Zertifikate

SAN Zertifikate mit Keytool erstellen

Zuerst erstellen wir uns einen privaten und öffentlichen Schlüssel. Der private Schlüssel wird dabei mit einem Passwort geschützt und sicher in einem Keystore abgelegt.

Der Keystore heißt dwp.jks. Das Kennwort muss mindestens 6 Zeichen lang sein.

keytool -genkey -alias windowspapst.de -keyalg RSA -keystore dwp.jks -keysize 4096

keytool create privat and public key

Anschließend wird einem empfohlen, den Keystore in ein PKCS12 Format zu konvertieren. Das machen wir aber erst später.

Als nächstes erstellen wir einen (SAN) Zertifikatsrequest der im Anschluss mithilfe des privaten Schlüssels signiert wird. Ein SAN-Zertifikat ist für mehrere Domains oder IP-Adressen gültig.

keytool -certreq -file windowspapst.csr -keystore dwp.jks -alias windowspapst.de -ext SAN=dns:windowspapst.de,dns:www.windowspapst.de,dns:der-windows-papst.de,dns:www.der-windows-papst.de,ip:217.160.0.251

keytool create san request

Der erstelle Request muss nun von einer öffentlichen CA (Zertifizierungsstelle), gerne auch über SSL247, signiert werden. In meinem Test-Fall mache ich das über meine interne CA.

csr signing

Nachdem dieser signiert wurde, müssen wir das neue Zertifikat in den Keystore importieren. Man muss darauf achten, das dies mit dem selben Alias (windowspapst.de) geschieht.

Falls das Zertifikat der Root oder Zwischen-CA importiert werden muss

So importieren wir die Chain der öffentlichen CA ,die uns das Zertifikat ausgestellt hat.

keytool -import -trustcacerts -alias ExternalRootCA -file RootCA.cer -keystore dwp.jks
keytool -import -trustcacerts -alias ExternalSubCA -file SubCA.cer -keystore dwp.jks

import external public key

Ist die Zertifikatskette der öffentlichen CA importiert, erst dann kann zur Vervollständigung der Chain, das signierte Zertifikat importiert werden. Wer es versäumt die Chain der öffentlichen CA zu importieren bekommt einen Fehler angezeigt der besagt, das die Kette nicht vollständig ist.

Fehler: “Kette konnte der Antwort nicht entnommen werden”

Zum Abschluss importieren wir wie oben beschrieben das eigentliche Zertifikat.

keytool -import -trustcacerts -alias windowspapst.de -file “windowspapst.cer” -keystore “dwp.jks”

certificate chain complete

Ist das geschehen, kann der Keystore z.B. zur Anbindung an einen Tomcat eingesetzt werden.

Convert JKS to PKCS12

Wer will kann den .JKS Keystore nun in das Format PKCS12 konvertieren und danach in .p12 (PFX) umbenennen. Es gibt auch Tools wie z.B. den Keystore-Explorer oder XCA die beim Konvertieren durchaus nützlich sein könnten.

keytool -import -trustcacerts -alias windowspapst.de -file windowspapst.de.cer -keystore dwp.jks

convert proprietäres Format in pkcs12

Nachdem der Keystore dwp.jks in dwp.p12 umbenannt wurde, kann dieser auch unter Windows importiert und z.B. im IIS eingesetzt werden.

Import jks in Windows

Zertifikat für Tomcat und Windows

JKS Keystore öffnen

Wer will der kann sich die gesamte Chain (Zertifikatskette) im JKS Keystore mit diesem Befehl anzeigen lassen. Wir sehen das Root- und Sub-Zertifikat der öffentlichen CA sowie den eigentlichen privaten Schlüssel von unserem Zertifikat.

keytool -list -keystore dwp.jks

JKS Keystore Entries

https://www.der-windows-papst.de/2021/05/11/san-zertifikat-mit-openssl-fuer-apache/

Ein Kommentar

  1. Pingback: SAN-Zertifikat mit OpenSSL für Apache - Der Windows Papst - IT Blog Walter

Kommentare sind geschlossen.