SSL-Zertifikat manuell über keytool importieren

Zur Durchführung des Imports wird das Programm keytool der in agorum core integrierten Java-Maschine verwendet.

Sie finden das keytool unter:

Das Passwort für den keystore unter agorum core lautet im Standard changeit.

Möglichkeiten zum Import

---

• Das Zertifikat einer Registrierungsstelle importieren
• Das vollständige Zertifikat (mit Private Key) in den keystore importieren

Das Zertifikat einer Registrierungsstelle importieren

---

Führen Sie die folgenden Schritte durch, wenn Sie ein Zertifikat importieren möchten, das Sie über ein CSR bei einer Registrierungsstelle angefordert haben:

1. Deaktivieren Sie das von Windows automatisch generierte Testzertifikat, damit es das neue Zertifikat nicht überschreibt. Dieses Testzertifikat wird automatisch beim Start des Servers erzeugt. Kommentieren Sie dazu in der Datei roi_jboss.bat unter <InstallDir>\scripts die nachfolgende Zeile durch Voranstellen von rem aus, oder löschen Sie diese direkt:

   rem "C:\Program Files (x86)\agorum\core\java\bin\keytool" -genkey -alias tomcat -keyalg RSA -validity 36500 -keypass changeit -storepass changeit -dname "CN=agorum Software GmbH, OU=DEVELOP, O=agorum Software GmbH, L=Ostfildern, ST=BW, C=DE" 2>NUL >NUL
   

2. Erstellen Sie ein CSR. Führen Sie dazu auf dem agorum core-Server Folgendes durch:
   
   Unter Linux

   ./keytool -delete -alias tomcat -keystore /root/.keystore
   

   Unter Windows

   .\keytool.exe -delete -alias tomcat -keystore c:\Windows\System32\config\systemprofile\.keystore
   

3. Erzeugen Sie ein CSR. Dabei werden diverse Eingaben abgefragt. Der Wert CN ist dabei am wichtigsten. Hier muss der Domain-Name stehen, unter dem agorum core über https://... später aufrufbar sein soll. Das Zertifikat ist an den Domainnamen gebunden.
   
   Unter Linux

   ./keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore /root/.keystore
   ./keytool -certreq -alias tomcat -file request.csr -keystore /root/.keystore
   

   
   Unter Windows

   .\keytool.exe -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore c:\Windows\System32\config\systemprofile\.keystore
   .\keytool.exe -certreq -alias tomcat -file request.csr -keystore c:\Windows\System32\config\systemprofile\.keystore

4. Tragen Sie die erzeugte CSR-Datei (request.csr) bei der Zertifizierungsstelle ein, wenn Sie ein Zertifikat bestellen. Die .keystore darf nun nicht mehr geändert oder gelöscht werden. Hier wird später das von der Zertifizierungsstelle erhaltene Zertifikat eingespielt.
5. Importieren Sie das Zertifikat nach Erhalt (optimalerweise im p7b-Format inklusive der kompletten Zertifikatskette des Zertifizierers) folgendermaßen:
   
   Unter Linux

   ./keytool -import -alias tomcat -trustcacerts -file certificate.p7b -keystore /root/.keystore
   

   Unter Windows

   .\keytool.exe -import -alias tomcat -trustcacerts -file certificate.p7b -keystore c:\Windows\System32\config\systemprofile\.keystore

6. Starten Sie agorum core neu.

Das vollständige Zertifikat (mit Private Key) in den keystore importieren

---

Besitzen Sie bereits ein Zertifikat, etwa ein Wildcard-Zertifikat, so können Sie dieses direkt in den Java-Keystore von agorum core installieren. Voraussetzung ist, dass das Zertifikat komplett ist (die gesamte Zertifizierungskette inklusive Private-Zertifikat). Das übliche Format ist hierbei pfx.

Unter Linux

1. Importieren Sie das Zertifikat mit folgendem Befehl:

   keytool -importkeystore -srckeystore ihr-zertifikats-file.pfx -srcstoretype pkcs12 -destkeystore /root/.keystore

   
   Ergebnis: Nach erfolgreichem Import wird der alias des soeben importierten Zertifikats in der Konsole ausgegeben. Diesen alias benötigen Sie für Schritt 3.
2. Löschen Sie das vorhandene (alte) Zertifikat mit dem alias tomcat mit folgendem Befehl:

   keytool -delete -alias tomcat -keystore /root/.keystore
   

3. Benennen Sie den Zertifikats-alias in tomcat mit folgendem Befehl um. Als keystore-Password geben Sie changeit ein, als zweites Passwort das Passwort des Zertifikats:

   keytool -changealias -alias alias-des-importierten-zertifikats -destalias tomcat -keystore /root/.keystore
   

4. Ändern Sie das Passwort des Zertifikats in changeit mit folgendem Befehl und verwenden Sie folgende Passwörter:

   keytool -keypasswd -alias tomcat -keystore /root/.keystore
   

   
   Passwort des keystores
   changeit
   
   Passwort des Private Keys
   Ihr-Passwort
   
   Zweimalige Eingabe des neuen Passworts
   changeit
5. Starten Sie agorum core neu.

Unter Windows

1. Importieren Sie das Zertifikat mit folgendem Befehl:

   .\keytool.exe -importkeystore -srckeystore ihr-zertifikats-file.pfx -srcstoretype pkcs12 -destkeystore c:\Windows\System32\config\systemprofile\.keystore

   
   Ergebnis: Nach erfolgreichem Import wird der alias des soeben importierten Zertifikats in der Konsole ausgegeben. Diesen alias benötigen Sie für Schritt 3.
2. Löschen Sie das vorhandene (alte) Zertifikat mit dem alias tomcat mit folgendem Befehl:

   .\keytool.exe -delete -alias tomcat -keystore c:\Windows\System32\config\systemprofile\.keystore
   

3. Benennen Sie den Zertifikats-alias in tomcat mit folgendem Befehl um. Als keystore-Password geben Sie changeit ein, als zweites Passwort das Passwort des Zertifikats:

   .\keytool.exe -changealias -alias alias-des-importierten-zertifikats -destalias tomcat -keystore c:\Windows\System32\config\systemprofile\.keystore
   

4. Ändern Sie das Passwort des Zertifikats in changeit mit folgendem Befehl und verwenden Sie folgende Passwörter:

   .\keytool -keypasswd -alias tomcat -keystore c:\Windows\System32\config\systemprofile\.keystore
   

   
   Passwort des Keystores
   changeit
   
   Passwort des Private Keys
   Ihr-Passwort
   
   Zweimalige Eingabe des neuen Passworts
   changeit
5. Starten Sie agorum core neu.

Das importierte Zertifikat testen

---

Sie können das Zertifikat im Browser über https://die-gewählte-domain testen. Erscheint keine Fehlermeldung, ist das Zertifikat in Ordnung.