https://www.opennet.me/openforum/vsluhforumID1/96189.html Собственно столкнулся с сабжем и что не получилось нормально настроить. Прочитал 100500 статей, но нигде толком не объясняется, как же таки нормально настроить tomcat и ssl.<br><br>У меня есть <br><br>rootca.crt, intermediate.crt, server.crt, private.key<br><br>Везде, где видел в keystore добавляли только сертификаты, но не сам private key. Пока что частично получилось настроить так<br>[code]<br>$ openssl pkcs12 -export -in jira.example.net.crt -inkey jira.example.net.key &gt; jira.example.net.p12<br><br>$ keytool -importkeystore -srckeystore /opt/jira/jira.example.net.p12 -destkeystore /opt/jira/jira.jks -srcstoretype pkcs12<br><br>$ keytool -importcert -alias intermediateca -keystore /opt/jira/jira.jks -trustcacerts -file /opt/jira/sub.class1.server.ca.crt<br><br>$ keytool -importcert -alias rootca -keystore /opt/jira/jira.jks -trustcacerts -file /opt/jira/rootca.crt<br>[/code]<br><br>В итоге получаю<br>[code]<br>$ keytool -list -keystore /opt/jira/jira.jks<br>Enter keystore password:<br><br>Keystore type: JKS<br>Keystore provider: SUN<br><br>Your keystore co https://www.opennet.me/openforum/vsluhforumID1/96189.html#11 Fri, 03 Jul 2015 13:01:35 GMT http://sys-adm.org.ua/www/jira-tomcat-ssl<br><br>сделал заметку, может кому пригодится<br> https://www.opennet.me/openforum/vsluhforumID1/96189.html#10 Tue, 30 Jun 2015 11:58:11 GMT &gt; можно было сделать проще, отказаться от хранилища jks и прописать сертификаты в <br>&gt; ручную, это описано здесь же на ресурсе через поиск найдете tomcat+ssl: <br>&gt; &lt;Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" <br>&gt; maxThreads="150" scheme="https" secure="true" <br>&gt; SSLCACertificateFile="${catalina.home}/cert/root.crt" <br>&gt; SSLCertificateFile="${catalina.home}/cert/client.crt" <br>&gt; SSLCertificateKeyFile="${catalina.home}/cert/client.key" <br>&gt; sslProtocol="TLS" /&gt; <br>&gt; в root.crt все зависимые сертификаты.<br><br>Да, можно и так, но будет работать только с apr контейнером, что не всегда приемлемо<br><br>[code]<br>&lt;Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"<br> scheme="https"<br> secure="true"<br> clientAuth="false"<br> useBodyEncodingForURI="true"<br><br> SSLEnabled="true"<br> SSLHonorCipherOrder="true"<br> SSLDisableCompression="true"<br> SSLCertificateFile="/etc/pki/jira/jira.example.net.crt"<br> SSLCertificateKeyFile="/etc/pki/jira/jira.e https://www.opennet.me/openforum/vsluhforumID1/96189.html#9 Thu, 25 Jun 2015 08:38:47 GMT можно было сделать проще, отказаться от хранилища jks и прописать сертификаты в ручную, это описано здесь же на ресурсе через поиск найдете tomcat+ssl:<br><br> &lt;Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"<br> maxThreads="150" scheme="https" secure="true"<br> SSLCACertificateFile="${catalina.home}/cert/root.crt"<br> SSLCertificateFile="${catalina.home}/cert/client.crt"<br> SSLCertificateKeyFile="${catalina.home}/cert/client.key"<br> sslProtocol="TLS" /&gt;<br><br>в root.crt все зависимые сертификаты.<br> https://www.opennet.me/openforum/vsluhforumID1/96189.html#8 Thu, 25 Jun 2015 08:37:47 GMT можно было сделать проще, отказаться от хранилища jks и прописать сертификаты в ручную, это описано здесь же на ресурсе через поиск найдете tomcat+ssl:<br><br> &lt;Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"<br> maxThreads="150" scheme="https" secure="true"<br> SSLCACertificateFile="${catalina.home}/cert/root.crt"<br> SSLCertificateFile="${catalina.home}/cert/client.crt"<br> SSLCertificateKeyFile="${catalina.home}/cert/client.key"<br> sslProtocol="TLS" /&gt;<br><br>в root.crt все зависимые сертификаты.<br> https://www.opennet.me/openforum/vsluhforumID1/96189.html#6 Wed, 24 Jun 2015 16:52:48 GMT &gt; но я импортировал и корневой и промежуточный сертификаты.<br><br>вы импортировали каждый сертификат по отдельности, а нужно чтобы в импортированном сертификаты была именно цепочка связанных сертификатов<br><br> https://www.opennet.me/openforum/vsluhforumID1/96189.html#5 Wed, 24 Jun 2015 15:52:14 GMT В общем удалось победить<br><br>Создаем цепочку. Порядок имеет значение! [b]root -&gt; intermediate -&gt; server[/b]<br>[code]<br>$ cat rootca.crt &gt; chain.pem<br>$ cat sub.class1.server.ca.crt &gt;&gt; chain.pem<br>$ cat jira.example.net.crt &gt;&gt; chain.pem<br>[/code]<br><br>https://answers.atlassian.com/questions/146659/unable-to-configure-ssl-in-jira<br><br>Note: If root or intermediate certificates are necessary, they MUST be inserted into the keychain in the order root -&gt; intermediate(s) -&gt; domain<br><br>Проверяем<br>[code]<br>$ openssl verify chain.pem<br>chain.pem: OK<br>[/code]<br><br>Экспортируем в pkcs12<br>[code]<br>$ openssl pkcs12 -export -in chain.pem -inkey jira.example.net.key &gt; chain.p12<br>Enter Export Password:<br>Verifying - Enter Export Password:<br>[/code]<br><br><br>Импортируем нашу цепочку и закрытый ключ и на их основе создаем свой keystore<br>[code]<br>$ keytool -importkeystore -srckeystore chain.p12 -destkeystore jira.jks -srcstoretype pkcs12 <br>Enter destination keystore password:<br>Re-enter new password:<br>Enter source keystore password:<br>Entry https://www.opennet.me/openforum/vsluhforumID1/96189.html#4 Wed, 24 Jun 2015 11:22:50 GMT &gt; если не ошибаюсь, не может найти всю цепочку(chain) сертификатов, т.е где участвует <br>&gt; промежуточный сертификат.<br><br>похоже на то<br><br>&gt; решалось объединением в цепочку СА и промежуточного сертификата и его импортом в <br>&gt; keystore <br><br>но я импортировал и корневой и промежуточный сертификаты.<br><br>&gt; гляньте: <br>&gt; https://stackoverflow.com/questions/8120690/tomcat-doesnt-deliver-intermediate-certificate-https <br>&gt; http://www.fourproc.com/2010/06/23/create-a-ssl-keystore-for-a-tomcat-server-using-openssl-.html <br><br>ok, посмотрю<br> https://www.opennet.me/openforum/vsluhforumID1/96189.html#3 Wed, 24 Jun 2015 10:16:45 GMT &gt;[оверквотинг удален]<br>&gt;CONNECTED(00000003)<br>&gt;depth=0 C = UA, CN = jira.example.net, emailAddress = webmaster@example.net<br>&gt;verify error:num=20:unable to get local issuer certificate<br>&gt;verify return:1<br>&gt;depth=0 C = UA, CN = jira.example.net, emailAddress = webmaster@example.net<br>&gt;verify error:num=27:certificate not trusted<br>&gt;verify return:1<br>&gt;depth=0 C = UA, CN = jira.example.net, emailAddress = webmaster@example.net<br>&gt;verify error:num=21:unable to verify the first certificate<br>&gt;verify return:1<br><br>если не ошибаюсь, не может найти всю цепочку(chain) сертификатов, т.е где участвует промежуточный сертификат. <br><br>решалось объединением в цепочку СА и промежуточного сертификата и его импортом в keystore<br><br>гляньте:<br>https://stackoverflow.com/questions/8120690/tomcat-doesnt-deliver-intermediate-certificate-https<br>http://www.fourproc.com/2010/06/23/create-a-ssl-keystore-for-a-tomcat-server-using-openssl-.html<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/96189.html#2 Wed, 24 Jun 2015 09:43:21 GMT &gt; openssl s_client -connect jira.example.net:8443 -CApath /etc/ssl/certs/ <br><br>Та же ошибка<br><br>[code]<br>$ openssl s_client -connect jira.example.net:8443 -CApath /etc/ssl/certs/<br>CONNECTED(00000003)<br>depth=0 C = UA, CN = jira.example.net, emailAddress = webmaster@example.net<br>verify error:num=20:unable to get local issuer certificate<br>verify return:1<br>depth=0 C = UA, CN = jira.example.net, emailAddress = webmaster@example.net<br>verify error:num=27:certificate not trusted<br>verify return:1<br>depth=0 C = UA, CN = jira.example.net, emailAddress = webmaster@example.net<br>verify error:num=21:unable to verify the first certificate<br>verify return:1<br>---<br>...<br>...<br>...<br>subject=/C=UA/CN=jira.example.net/emailAddress=webmaster@example.net<br>issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA<br>---<br>No client certificate CA names sent<br>Server Temp Key: ECDH, secp521r1, 521 bits<br>---<br>SSL handshake has read 2644 bytes and written 443 bytes<br>---<br>New, TLSv1/SSLv3,