Webサーバ証明書インストール手順(Tomcat)

証明書ファイルの作成

(1) Webサーバ証明書ファイルをダウンロードします。

お送りした申込専用アクセスキーでログインいただき、 申込一覧よりダウンロード対象のWebサーバ証明書を選んでダウンロードしてください。
ファイル名は任意のものを指定します。(例:web.cer)

(2) 中間認証局証明書ファイルをリポジトリからダウンロードして保存してください。

パブリック証明書をご利用になる場合
リポジトリより中間認証局証明書をダウンロードします。
・2022年5月1日より以降に申請:こちら
・2022年4月28日より以前に申請:こちら

ダウンロードした中間認証局証明書ファイルを任意のファイル名で保存します。(例:chain_ca.cer)

(3) 証明書ファイルをサーバに配置します。

(1)、(2)で作成した証明書ファイルをWebサーバの任意のディレクトリに保存します。

証明書のインストール


(1) Webサーバ証明書と中間認証局証明書を一つのファイルにします。

次のコマンドを実行して、ダウンロードしたWebサーバ証明書(例:web.cer)と中間認証局証明書(例: chain_ca.cer)の2つをつないでください 。

# cat web.cer chain_ca.cer >combined.cer

(2) 中間認証局証明書とWebサーバ証明書をインストールします。

次のコマンドを実行して、Webサーバ証明書と中間認証局証明書をインストールします。

# keytool -import -alias <キーストアファイル作成時に指定したエイリアス名> -keystore <キーストアファイル名> -file <(1)で作成したファイル名>

入力例:

# keytool -import -alias einspki -keystore /your/keystore/filename -file combined.cer

(3) プロンプトが表示されたら、パスワードを入力してください。

Enter keystore password: ******** ← キーストア作成時に指定したパスフレーズを入力します

(4) 次のようなプロンプトが表示された場合には「yes」 と入力してください。 を入力してください。

Top-level certificate in reply:
Owner: CN=EINS/PKI Public Certification Authority 2.0, O=INTEC Inc., C=JP
Issuer: OU=Security Communication RootCA2, O=SECOM Trust.net, C=JP
Serial number: 97c88d3f297bad21f47fb929c3ad7338
Valid from: Thu Feb 28 17:51:17 JST 2008 until: Wed Feb 28 17:51:17 JST 2018
Certificate fingerprints:
MD5: 0E:ED:8C:4C:DA:18:FA:1F:65:9E:BA:71:4C:1C:08:73
SHA1: 91:E7:6A:EF:E2:46:BE:4B:49:5E:D7:5D:78:76:A5:1C:61:33:D7:33

… is not trusted. Install reply anyway? [no]: yes

[Certificate reply was installed in keystore]と表示されることを確認してください。

SSLの有効化


(1) server.xmlファイルの設定変更。

Tomcatの設定ファイル(server.xml)を以下の通り設定変更します。

maxThreads=”150″ scheme=”https” secure=”true”
clientAuth=”false” sslProtocol=”TLS”
keystoreFile=“キーストアファイルのディレクトリ”
keystorePass=“キーストアファイルのパスワード”

注意: キーストアのパスワードは、 server.xmlファイルに平文で指定します。 パスワードや秘密鍵が他人に漏洩しないよう、 このファイルやconfディレクトリの許可モードなどにご注意ください。

(2) Tomcatの再起動。

Tomcatが既に起動している場合は、設定ファイルの変更内容を反映するために一旦 Tomcatを停止して再起動します。

# <Apacheインストールディレクトリ>/bin/catalina.sh stop (Tomcatの停止)
# <Apacheインストールディレクトリ>/bin/catalina.sh start (Tomcatの起動)

(3) SSL接続の確認を行ないます。

ブラウザを起動し、「https:// 」から開始するURLにアクセスして画面が表示されることをご確認ください。
また、下図のようなブラウザの鍵マークのアイコンをクリックし、証明書ファイルが正常に表示されることをご確認ください。


以上で、証明書のインストールは完了です。

証明書・秘密鍵のバックアップ

Webサーバ上に配置したキーストアファイルは、 Webサーバがなんらかの要因により障害となった場合に証明書・秘密鍵を復旧するために必要となりますので、別の媒体にコピーして保存してください。
また、セキュリティ上最も重要な情報が含まれていますので、メールで送付するなど、外部へ流出することがないように充分にご注意ください。


↓