Tomcat: Generar CSR e instalar certificados

Antes de solicitar un certificado SSL, debes incluir una solicitud para firma de certificado (CSR) de tu servidor. La CSR incluye tu clave pública y debe contener los mismos detalles que el formulario de solicitud en línea de tu cuenta. Una vez que tu solicitud se examine minuciosamente y se emita tu certificado, descarga e instala todos los archivos suministrados para completar la instalación.

Nota: Estos pasos describen cómo instalar un certificado utilizando "keytool", por lo cual deberás tener instalado Java 2 SDK 1.2 (o posterior) en tu servidor.

Generar un depósito de claves "Keystore" y CSR en Tomcat

Utilizando Keytool, sigue estos pasos para generar un depósito de claves "keystore" y CSR en tu servidor.

Para generar un depósito de claves "Keystore" y CSR en Tomcat

  1. Ingresa el siguiente comando en keytool para crear un depósito de claves "keystore":
    keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
  2. Ingresa una Contraseña. El valor predeterminado es changeit.
  3. Ingresa Información distinguida:
    • Nombre y apellido — El nombre de dominio totalmente calificado, o URL, que estés protegiendo. Si estás solicitando un certificado Wildcard que protege múltiples subdominios, agrega un asterisco (*) a la izquierda del nombre común en el que quieres el comodín, por ejemplo, *.buenejemplo.com.
    • Unidad de organizaciónOpcional. Si fuera pertinente, puedes ingresar el nombre DBA (nombre con el cual opera) en este campo.
    • Organización — El nombre legal completo de tu organización. La organización incluida debe ser un registrante legal del nombre de dominio en la solicitud de certificado. Si estás inscribiéndote como individuo, ingresa el nombre del solicitante del certificado en Organización, y el nombre DBA (nombre con el cual opera) en Unidad de organización.
    • Ciudad/Localidad — Nombre de la ciudad donde está registrada/situada tu organización — no abrevies la información.
    • Estado/Provincia — Nombre del estado o provincia donde está situada tu organización — no abrevies la información.
    • Código de país — El formato de dos letras de la Organización Internacional para la Estandarización (ISO) para el código de país correspondiente al lugar donde tu organización está legalmente registrada.
  4. Ingresa el siguiente comando en keytool para crear una CSR:
    keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
  5. Ingresa la Contraseña que proporcionaste en el Paso 2.
  6. Abre el archivo CSR y copia todo el texto, incluyendo
    ----BEGIN NEW CERTIFICATE REQUEST----

    y

    ----END CERTIFICATE REQUEST----
  7. Pega todo el texto en el formulario de solicitud en línea y completa tu solicitud.

Si deseas más información sobre cómo completar el formulario de solicitud en línea, consulta Solicitar un certificado SSL.

Una vez que envíes la solicitud, comenzaremos a examinarla. Recibirás un correo electrónico con información adicional cuando haya concluido el proceso.

Instalar tu certificado SSL en Tomcat

Una vez que se haya emitido el certificado, descárgalo en el Administrador de certificados y colócalo en la misma carpeta que tu depósito de claves "keystore". Posteriormente, utiliza keytool para ingresar los siguientes comandos a fin de instalar los certificados.

Los nombres de archivo de tus certificados raíz e intermedio dependen de tu algoritmo de firma.

  • Certificado raíz SHA-1: gd_class2_root.crt
  • Certificado raíz SHA-2: gdroot-g2.crt
  • Certificado intermedio SHA-1: gd.intermediate.crt
  • Certificado intermedio SHA-2: gdig2.crt
  • (Java 6/7 únicamente) Certificado raíz SHA-2: gdroot-g2_cross.crt
Advertencia: No debes utilizar certificados SSL que empleen el algoritmo SHA-1 (más información).

También puedes descargar los certificados del repositorio.

Para instalar tu certificado SSL en Tomcat

  1. Instala el certificado raíz ejecutando el siguiente comando:
    keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file [nombre del certificado raíz]
  2. Instala el certificado intermedio ejecutando el siguiente comando:
    keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file [nombre del certificado intermedio]
  3. Instala el certificado emitido en el depósito de claves "keystore" ejecutando el siguiente comando:
    keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file [nombre del certificado]
  4. Actualiza el archivo server.xml con la ubicación correcta del depósito de claves "keystore" en el directorio Tomcat.

    Nota: Como valor predeterminado el texto del conector HTTPS está etiquetado como comentario. Elimina las etiquetas de comentario para habilitar HTTPS.

    • Tomcat 4.x — Actualiza los siguientes elementos en server.xml para Tomcat 4.x:
      clientAuth="false"
      protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
      keystorePass="changeit" />
    • Tomcat 5.x, 6.x y 7.x — Actualiza los siguientes elementos en server.xml para Tomcat 5.x, 6.x y 7.x:
      -- Definir un Conector SSL Coyote HTTP/1.1 en el puerto 8443 -->
      Conector 
                 port="8443" maxThreads="200"
                 scheme="https" secure="true" SSLEnabled="true"
                 keystoreFile="[ruta a tu archivo de depósito de claves]" keystorePass="changeit"
                 clientAuth="false" sslProtocol="TLS"/>
  5. Guarda tus cambios en server.xml, y luego reinicia Tomcat para comenzar a usar tu SSL. Tu certificado SSL está instalado. Si tienes problemas, consulta
    para diagnosticarlos mejor.

¿Te fue útil este artículo?
Gracias por tus comentarios. Si deseas contactar a un agente del servicio de atención al cliente, llama a atención al cliente o usa la opción de chat que aparece arriba.
Nos alegramos de poder haberte ayudado. ¿Podemos hacer algo más por ti?
Disculpa las molestias. Cuéntanos si algo no te ha quedado claro o si no has podido solucionar el problema con la solución ofrecida .