Ajout d'un certificat pour le Cloud

Nouvelle procédure

Prendre le certificat ainsi que le certificat intermédiaire lisible en .crt ou .pem

Les ouvrir et l'intérieur du certificat intermédiaire sous le certificat principal où le contenu sera du genre :

-----BEGIN CERTIFICATE-----
xxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxx
-----END CERTIFICATE-----

On peut le faire dans linux avec la commande suivante :

cat domaine.crt AddTrustCA.crt > bundle.crt

Vérifier que le fichier généré à le même MD5 que la clé privée :

openssl x509 -noout -modulus -in bundle.crt | openssl md5

openssl rsa -noout -modulus -in mydomain.key | openssl md5

Sur le serveur 100.109, copier le cacerts.jks de Gespage dans le dossier courant:

cp /root/Desktop/cacerts.jks .

Importer le bundle.crt dans le cacerts.jks:

keytool -import -trustcacerts -alias root_alias_name -file bundle.crt -keystore cacerts.jks -storepass changeit

Et valider le certificat.

Unir et convertir les certificats ainsi que la clé privée dans un fichier .p12 (format pkcs12):

openssl pkcs12 -export -in bundle.crt -inkey mydomain.key -out mydomain.p12 -name s1as

Renseigner le mot de passe suivant : "changeit"

Importer le .p12 dans un keystore.jks

keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore keystore.jks -srckeystore mydomain.p12 -srcstoretype PKCS12 -srcstorepass changeit -alias s1as

Enfin, placer le keystore.jks ainsi que le cacerts.jks dans le fichier config de Gespage puis redémarrer l'application.

Lien original : http://www.developerscrappad.com/2124/java/java-ee/how-to-install-comodo-ssl-certificate-chain-on-payara-glassfish-4-x/
----------------------------------------------------------------------------------------------------------------------------------------

Ancienne procédure

Si nous avons seulement un fichier pfx, il faut exécuter les commande suivante:

• openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
• openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
• openssl rsa -in key.pem -out server.key

Si on nous fournit un certificat avec l'extension .p7b avec à l'intérieur les balises : -----BEGIN PKCS7-----

• openssl pkcs7 -in certificatname.p7b -print_certs -outform PEM -out certificatname.pem

Il faut ensuite découper le fichier certificatname.pem en certificat et certificats intermédiaires.

L’UDS nous fournit la clé privée, le certificat et le certificat intermédiaire au format PEM (format lisible):

• Clé privée : corep-printing.u-strasbg.fr.key
• Certificat : cert-4286-corep-printing.u-strasbg.fr.pem
• Certificat intermédiaire : chain-4286-corep-printing.u-strasbg.fr.pem

Il faut d’abord convertir la clé privé, le certificat et le certificat intermédiaire (si il est fournit) au format DER

openssl pkcs8 -topk8 -nocrypt -in corep-printing.u-strasbg.fr.key -inform PEM -out corep-printing.u-strasbg.fr.der -outform DER
openssl x509 -in cert-4286-corep-printing.u-strasbg.fr.pem -inform PEM -out cert-4286-corep-printing.u-strasbg.fr.der -outform DER
openssl x509 -in chain-4286-corep-printing.u-strasbg.fr.pem -inform PEM -out chain-4286-corep-printing.u-strasbg.fr.der -outform DER

Il faut ensuite générer un keystore.jks intégrant la clé privée à partir du programme java ImportKey.java (ci-joint) :

/opt/Gespage/GespageCore/JDK/bin/javac ImportKey.java
java ImportKey corep-printing.u-strasbg.fr.der cert-4286-corep-printing.u-strasbg.fr.der

Si on a déjà un keystore car on a créé le CSR nous même, il faut faire la commande suivante pour insérer le certificat dans le keystore.jks (en général, il faut utiliser l'alias s1as) :

keytool -importcert -file certificate.cer -keystore keystore.jks -alias "Alias" 

Importer le certificat intermediate au fichier keystore.jks :

keytool -import -alias corep-printing.u-strasbg.fr -file chain-4286-corep-printing.u-strasbg.fr.der -keystore /root/keystore.jks  -trustcacerts

Le fichier keystore est généré sous /root/keystore.jks . Il faut le recopier sous /usr/share/glassfishv3/glassfish/domains/domain1/config. Il faut redémarrer GlassFish pour qu’il soit pris en compte.

Il est possible de convertir un certificat en .CER vers .PEM avec openssl avec a commande suivante:

openssl x509 -inform der -in certificate.cer -out certificate.pem