Apuntes Creativos de Software

Certificado de seguridad SSL Glassfish y Ubuntu

Instalar Certificado de seguridad SSL Glassfish y Ubuntu

Por: Wilson Fabian Roa Martín.

Los pasos para la instalación del certificado de se deben hacer en el directorio de configuración del dominio de glassfish

/../glassfish4/glassfish/domains/domain1/config

La idea es emplear el archivo keystore.jks que trae por defecto el glassfish. Este archivo contiene los certificados de seguridad por defecto del glassfish como «s1as». El password por defecto del fichero keystore.jks es «changeit»

Empecemos!

$ keytool -genkey -alias tunjasoportecert -keyalg RSA -keysize 2048 -keypass changeit -keystore keystore.jks -storepass changeit

El alias para mi caso es tunjasoportecert y es muy importante tenerlo presente.

¿Cuáles son su nombre y su apellido?
 [Unknown]: tunjasoporte.no-ip.info
¿Cuál es el nombre de su unidad de organización?
 [Unknown]: tunjasoporte.no-ip.info
¿Cuál es el nombre de su organización?
 [Unknown]: tunjasoporte.no-ip.info
¿Cuál es el nombre de su ciudad o localidad?
 [Unknown]: Tunja
¿Cuál es el nombre de su estado o provincia?
 [Unknown]: Boyaca
¿Cuál es el código de país de dos letras de la unidad?
 [Unknown]: CO
¿Es correcto CN=tunjasoporte.no-ip.info, OU=tunjasoporte.no-ip.info, O=tunjasoporte.no-ip.info, L=Tunja, ST=Boyaca, C=CO? 
 [no]: si

En el nombre y apellido sólo me funciono ingresando el nombre de dominio.

Se puede verificar que el haya quedado registrado bien dentro del keystore.

$ keytool -list -v -alias tunjasoportecert -keystore keystore.jks -storepass changeit
Nombre de Alias: tunjasoportecert
Fecha de Creación: 6/11/2017
Tipo de Entrada: PrivateKeyEntry
Longitud de la Cadena de Certificado: 1
Certificado[1]:
Propietario: CN=tunjasoporte.no-ip.info, OU=tunjasoporte.no-ip.info, O=tunjasoporte.no-ip.info, L=Tunja, ST=Boyaca, C=CO
Emisor: CN=tunjasoporte.no-ip.info, OU=tunjasoporte.no-ip.info, O=tunjasoporte.no-ip.info, L=Tunja, ST=Boyaca, C=CO
Número de serie: 5816f981
Válido desde: Mon Nov 06 11:06:48 COT 2017 hasta: Sun Feb 04 11:06:48 COT 2018
Huellas digitales del Certificado:
 MD5: 53:92:E7:B8:7E:69:D6:18:19:FB:EA:83:9C:94:63:80
 SHA1: 26:E8:B8:A8:BD:F4:AF:74:C2:EF:02:9B:00:62:CB:72:47:9C:42:7D
 SHA256: 79:9E:94:4B:2F:03:82:A0:6F:70:F5:F2:D6:A5:FF:1F:55:47:EB:DF:FD:CC:0E:E8:E2:AE:4D:43:A2:0B:A2:C1
 Nombre del Algoritmo de Firma: SHA256withRSA
 Versión: 3
Extensiones:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 8D 74 70 25 2E 20 5A 51 3A 65 5D 53 02 4A 41 2C .tp%. ZQ:e]S.JA,
0010: FB A7 F6 B1 ....
]
]

Ahora se crear la solicitud de firma de certificado (Certified Signed Request CSR) el cual servirá para remitir a las empresas encargadas de emitir el certificado de seguridad:

keytool -certreq -alias tunjasoportecert -file tunjasoporte-cert.csr -keypass changeit -storepass changeit -keystore keystore.jks

Se abre el archivo csr recien creado (tunjasoporte-cert.csr) y se solicita un certificado firmado en la página https://www.thawte.com/

Captura de pantalla de 2017-11-06 11:17:35

 

Captura de pantalla de 2017-11-06 11:38:42

Captura de pantalla de 2017-11-06 11:39:11

A vuelta de correo se recibe informacion de los certificados: SSL Trial, Intermediate CA, CA root.

Utilizando un editor de texto se guardan de forma independiente en tres archivos.

trial.cer, inter.cer, root.cer

Captura de pantalla de 2017-11-06 11:48:28

En mi caso cree los tres archivos directamente a través de la consola de comandos con el editor de texto nano.
Ahora se agregan al keystore los certificados obtenidos.

------------------------
$ keytool -import -v -noprompt -trustcacerts -alias thawtetestcert -file root.cer -keypass changeit -keystore cacerts.jks -storepass changeit
$ keytool -import -v -noprompt -trustcacerts -alias thawtetestcert -file root.cer -keypass changeit -keystore keystore.jks -storepass changeit
$ keytool -keystore keystore.jks -import -alias cacertint -file inter.cer -storepass changeit
$ keytool -import -v -noprompt -alias tunjasoportecert -file trial.cer -keypass changeit -keystore keystore.jks -storepass changeit

 

La última etapa corresponde a la configuración del glassfish:

Selección_001

 

Habilitar el modo seguro:

Selección_002

Ingresar el alias de nuestro certificado:

Selección_003

 

Se reinicia el glasfish y debería funcionar. Si el certificado es gratuito, hará falta cargar a nuestro navegador una nueva autoridad importando el archivo root.cer

Selección_004

Y listo!

Selección_005

Fuente: https://jaehoo.wordpress.com/2012/10/15/glassfish-add-trusted-certificate-in-your-webapp/