Rinnovare un certificato TLS in Tomcat
La procedura per rinnovare il certificato SSL/TLS nel keystore di Tomcat dipende tipicamente dal tipo di certificato o meglio dall’ente certificatore.
Nelle ultime versioni di Tomcat l’uso del keystore, come abbiamo visto negli articoli precedenti, non è più necessario rendendo il rinnovo del certificato più semplice in quanto basta sostituire i file della chiave, della full-chain e riavviare Tomcat.
Tuttavia l’uso del keystore è ancora molto popolare quindi se vi ritrovate a dover rinnovare il certificato è probabile che dobbiate usare il keystore e lo strumento per la gestione: il keytool.
Nel caso di Letsencrypt i passaggi sono piuttosto semplici e automatizzabili: consistono nella cancellazione del certificato dal keystore e dall’importazione del nuovo, più riavvio di Tomcat.
Se invece il vostro certificato viene rilasciato da un rivenditore di certificati, la procedura solitamente prevede:
- la creazione di un CSR (Certificate Signing Request) a partire dal certificato+chiave memorizzato nel keystore,
- l’invio del CSR al rivenditore,
- la verifica dell’identità del richiedente tramite DNS, mail o inserimento di una pagina web ad hoc,
- la ricezione del certificato,
- il caricamento del certificato nonchè del certificato root CA e dell’intermedio nel keystore
- il riavvio di Tomcat.
Per verificare quali certificati sono presenti nel proprio keystore si può usare il comando (dove miokeystore.jks è il nome del proprio keystore):
keytool -list -keystore miokeystore.jks
Nella schermata precedente, ci sono 3 certificati: intermediate e root sono quelli della CA, mentre mydomain è il nostro certificato con chiave (PrivateKeyEntry) di Tomcat.
Facciamo una copia di backup del keystore
cp miokeystore.jks miokeystore.jks_backup
Per procedere alla generazione del CSR abbiamo bisogno della password del keystore e di sapere quale è l’alias che Tomcat usa per il certificato. Nel nostro caso è mydomain, quindi possiamo lanciare questo comando:
keytool -certreq -alias mydomain -file tomcat.csr -keystore miokeystore.jks
Verrà generato un file chiamato tomcat.csr partendo dal certificato con chiave contenuto nel keystore miokeystore.jks; il file tomcat.csr (non contiene la chiave) va passato al rivenditore di certificati.
A questo punto il rivenditore permette di scegliere un metodo di identificazione e autenticazione del proprietario del dominio. Scelto il metodo e verificato il proprietario, allora ci viene fornito il certificato del dominio in formato testuale.
Questo certificato spesso non è sufficiente da solo ma è necessario aggiungere nel keystore tutta la catena dei certificati, iniziando con il certificato della root CA, poi quello intermedio e poi il certificato del dominio.
Supponendo di dover sostituire il root CA e l’intermedio già presente nel keystore, bisogna eliminarli entrambi (solo se non ci sono altri certificati nel keystore che li usando, ovviamente).
I vecchi certificati intermediate e root possono essere eliminati:
keytool -delete -alias intermediate -keystore miokeystore.jks
keytool -delete -alias root -keystore miokeystore.jks
Non va cancellato il certificato con chiave mydomain.
I nuovi certificato root e intermediate che sono stati scaricati dal sito del rivenditore o della certification authority possono essere importati così:
keytool -import -trustcacerts -alias root -file DigiCert_Global_G2.pem -keystore miokeystore.jks
Dove DigiCert_Global_G2.pem è il certificato della Root CA.
keytool -import -trustcacerts -alias intermediate -file DigiCertGlobalCAG2.pem -keystore miokeystore.jks
Dove DigiCertGlobalCAG2.pem è il certificato della Intermediate CA.
Importiamo ora il certificato ricevuto dal rivenditore, supponiamo che il certificato sia contenuto nel file mydomain.txt
keytool -import -alias mydomain -file mydomain.txt -keystore miokeystore.jks
Così facendo il nuovo certificato verrà unito alla chiave già presente nel keystore.
Per far ripartire Tomcat su Debian o CentOS
systemctl restart tomcat9
Se l’importazione è stata effettuata in maniera corretta, il riavvio di Tomcat sarà completato con successo, altrimenti è possible che Tomcat non riesca a ripartire.
In tal caso, è possibile ripristinare il keystore originale (antecedente alle modifiche) e analizzare cosa è andato storto.
Una delle verifiche da fare è la corretta importazione del certificato con chiave. Infatti il certificato senza chiave non permette la partenza di Tomcat. Per verificare se c’è il certificato con chiave, basta cercare nell’output della lista se c’è PrivateKeyEntry.
keytool -list -keystore miokeystore.jks