Sei sulla pagina 1di 5

GENERAR CSR DE TOMCAT EN WINDOWS.

Para generar un request de certificado para tomcat se deben realizar los siguientes
pasos.
Crear una carpeta para almacén de claves y certificados.

1. Se debe hacer uso de la herramienta keytool de la siguiente manera


-abrir una ventana de línea de comandos:
Dar clic en el botón de búsqueda, escribir: ejecutar dar enter, en la ventana que
se despliega escribir cmd y se abrirá la ventana de línea de comandos, en la ventana
de comandos navegar hasta la carpeta creada anteriormente y escribir las siguientes
líneas para crear un almacén de claves y certificados.

a. Keytool –genkey –alias SERVIDOR –keyalg RSA –keysize 2048 –keystore


su_dominio_com.jks > oprimir la tecla enter
b. Luego de oprimir la tecla enter nos indicara la herramienta que ingresemos una
contraseña para el almacén de claves, ingresamos la contraseña según nuestro
criterio con confirmación.
c. Seguir los pasos para personalizar el certificado lo primero que se pregunta es
por el nombre y apellido se recalca que no es el nombre de la persona que
está creando el certificado si no el nombre distintivo de la organización que
tendrá gestión del certificado ejemplo: www.itsecurityservices.com.co , it
security services, itss, si no se encuentra seguro revisar las políticas de
creación de certificados de la organización. En generar los nombres son
distintivos de la organización.

Los campos que se solicitan en este paso son los siguientes:


Nombres y apellidos: Ejemplo: www.tecnologia.com
Nombre de su unidad organizativa: Ejemplo: tecnología
Nombre de su organización: Ejemplo: Itecnología
Ciudad o localidad: Ejemplo: Bogotá
Estado o provincia: Ejemplo: Cundinamarca
Código de Pais: Ejemplo: COL
Revisar la imagen de referencia:

Luego de lo anterior se solicitará una comprobación de que lo anteriormente escrito


este correcto: si esta correcto escribir si o yes dependiendo del idioma del sistema
operativo.
Después se le solicitara la contraseña del almacen de claves generada
anteriormente.
Si se le solicita hacer una migración de formato que utiliza el almacen de claves
realizar la migración como se le indica en ese momento.

A este punto se ha creado un archivo en la ruta especificada con extensión jks


ejemplo: tecnologia.com.jks
2. Generar un archivo CSR (certificate Signing Request) con nuestro
almacen de claves

a. Se usará nuevamente keytool para crear la solicitud de firma de certificado (CSR).


Con nuestro almacen de certificados creado anteriormente.
abrir una ventana de línea de comandos: Dar clic en el botón de búsqueda,
escribir: ejecutar dar enter, en la ventana que se despliega escribir cmd y se abrirá
la ventana de línea de comandos. En la ventana de comandos navegar hasta la
carpeta creada anteriormente y escribir las siguientes líneas para crear una solicitud
de firma de certificado.
a. Keytool -certreq -alias midominio -keystore su_dominio_com.jks –file
midominio.csr
b. Luego de ingresar el anterior comando se debe escribir la contraseña del almacen de
claves y certificados previamente creada
c. Una vez hecho esto se creará un archivo con extensión. CSR con el nombre que se le
coloco al archivo. CSR cuando se realizó la creación de la solicitud.
d. Si abrimos el archivo creado veremos algo como se muestra en la siguiente imagen:

e. Este archivo se le enviara a una entidad certificadora local o externa para que se
realice el proceso de validación y firma del certificado.
3. Instalando el nuevo certificado.
Se debe tener en cuenta que SSL verifica que el certificado que nos emitió la entidad
certificadora sea genuino para esto usa algo conocido como cadena de confianza
que significa un enlace adicional con la autoridad de certificación en el certificado
cuando se establece la conexión con el protocolo SSL
Para establecer esta cadena de confianza con el nuevo certificado, se debe descargar
un certificado adicional que se denomina “certificado raíz” de la entidad certificadora
y realizar la importación tanto del certificado raíz como del nuevo certificado que fue
emitido luego de procesar la solicitud o el request, estos se deberán importar al
almacen de claves creado previamente. La entidad certificadora le proveerá los
datos necesarios para obtener un certificado raíz.
Para realizar la importación de estos dos archivos se debe ejecutar los siguientes
comandos:
keytool -import -alias root -keystore [ruta / de / su / Almacen de claves] -trustcacerts -file
[Ruta / de / el / certificado_raiz]
keytool -import -alias [su alias de servidor o servicio] -keystore [ruta / de / su / Almacen
de claves] -file [ruta / de / su / Almacen de claves]

4. Configurar conector SSL de tomcat.

Se debe editar el archivo server.xml que se encuentra en la siguiente ruta en la carpeta


de instalación de tomcat ejemplo: C:\tomcat\conf ubicar server.xml y abrirlo con un editor
de texto escribir la siguiente configuración, se debe tener en cuenta que las líneas de
configuración cambian un poco dependiendo de la versión que se esté ejecutando.

Tomcat 6:
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/path/to/domain.com.jks"
keystorePass="my_keystore_password"
clientAuth="false" sslProtocol="TLS" >
</Connector>

Tomcat 7 / Tomcat 8.0.x:


<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/path/to/domain.com.jks"
keystorePass="my_keystore_password"
clientAuth="false" sslProtocol="TLS" >
</Connector>
Tomcat 8.5 x/ Tomcat 9:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" >
<SSLHostConfig>
<Certificate certificateKeystoreFile="/path/to/domain.com.jks"
certificateKeystorePassword="my_keystore_password"
type="RSA" />
</SSLHostConfig>
</Connector>

Para las configuraciones anteriores debemos tener en cuenta lo siguiente:


 /path/to/domain.com.jks: Es la ruta absoluta del almacen de claves que fue
creada anteriormente.
 my_keystore_password: Es la contraseña que fue creada para el almacen de claves
y certificados.

Luego de los pasos descritos anteriormente se debe reiniciar el servicio de apache para los
cambios sean aplicados.