SSL sertifikanızı herhangi bir otoriteye imzalattıktan sonra Apache Tomcat sunucusuna yüklemeniz için sertifikanızı openssl ile PKC formatına çevirmeniz gerekmektedir. -cretfile parametresindeki değer sertifika sağlayıcınızın root ve intermediate sertifikalarının birleştirilmiş halidir. Bu sertifikanızın zinciri ile birlikte çalışması için gereklidir.
openssl pkcs12 -export -in domain.com.crt -inkey domain.com.key -out domain.com.p12 -name domain.com -certfile ./root-bundle.crt
hemen arkasından keytool aracını kullanarak yeni keystore’umuza pkcs12 tipindeki sertifikamızı yüklüyoruz.
keytool -importkeystore -deststorepass 123456 -destkeypass 123456 -destkeystore .keystore -srckeystore domain.com.p12 -srcstoretype PKCS12 -srcstorepass 123456 -alias domain.com
Bu işlemden sonra .keystore dosyamızda düzgün bir şekilde sertifikamız saklanacaktır. Bu keystore’u tomcat’in server.xml dosyasını editleyerek sisteme tanıtabilirsiniz.
<Connector port="443" redirectPort="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" scheme="https" secure="true" sslProtocol="TLS" SSLEnabled="true" URIEncoding="UTF-8" keystorePass="123456" keystoreFile="/etc/tomcat/.keystore"/>
Bonus
Tomcat’e https üzerinden erişilebilmesi için eğer firewall kuralınıza https servisi yok ise aşağıdaki şekilde eklemeniz gerekir (Centos 7 için)
firewall-cmd --zone=public --permanent --add-service=https
