Certificado Digital SSL/Tutorial para Geração e Instalação Glassfish/Payara: mudanças entre as edições

Para este tutorial vamos considerar a aquisição do certificado na ComodoBR (Sectigo) (https://www.sectigo.com.br/certificados-dv.php) e os dados da CSR conforme lista abaixo:

• Alias= “nbsicert”
• Senha= “changeit” (padrão do Glassfish/Payara caso não tenha sido alterada)
• Keystore= “nbskeystore.jks”
• RSE Csr= “nbscsr.csr”

Passo 1:

1. No servidor, na pasta raiz (C:) criar o diretório “sslcert”;
2. Copie para dentro desta pasta os arquivos “keytool.exe” e “jli.dll”;

Esses arquivos estão em: “C:\java\jre\bin”

Passo 2:

a. Validar a senha da keystore.jks do glassfish. A padrão é “changeit”, caso não tenha sido alterada;

1. Entrar no prompt de comando do Windows (iniciar > executar > cmd <enter>;
2. Entrar na pasta criada “cd c:\sslcert”;
3. Inserir o seguinte comando e pressionar <enter>: “keytool -list -v -keystore C:\java\glassfish-4.1\glassfish\domains\domain1\config\keystore.jks”
4. Será requisitado a senha, informe “changeit”, para senha padrão, ou a senha atual (caso tenha sido alterada) e tecle <enter>;
5. Se a senha digitada for válida, será exibido o conteúdo da keystore, podemos assim continuar com os passos abaixo.

Importante: a senha que usaremos nos próximos passos tem que ser a mesma senha validada nos passos acima, então só continuar se a senha da keystore tiver sido validada;

Passo 3

1. Gerar a Keystore NBS, utilizar o comando: “keytool -genkey -alias nbsicert -keyalg RSA -keystore nbskeystore.jks -keysize 2048“
2. Será solicitada a senha da keystore, informar a mesma validada acima (a padrão é “changeit”);
3. Será solicitado os dados do servidor para criação do certificado, informar conforme segue:
   • Qual é o seu primeiro e último nome ? = Seu Nome de Domínio (por exemplo, www.seudominio.com.br)
   • Qual o nome da sua unidade organizacional ? = Seu departamento (por exemplo, TI)
   • Qual o nome da sua organização ? = Sua Empresa (por exemplo, Concessionaria GM LTDA)
   • Qual é o nome da sua Cidade ou Localidade ? = Sua cidade (por exemplo, Cuiabá)
   • Qual o nome do seu Estado ou Província ? = Seu Estado (por exemplo, MT)
   • Qual é o código de país de duas letras para esta unidade? = BR
4. Após término das informações, receberá um resumo dos dados preenchidos, confirmar informando “sim”(ou “yes” para Windows americano) e tecle <enter>.
5. Será requerida novamente a senha, informar a mesma validada acima;
6. Após conclusão com sucesso, o arquivo “nbskeystore.jks” em “C:\sslcert” deverá ter sido criado.

Passo 4

1. Gerar arquivo RSE Csr NBS, utilizando o comando:
   • “keytool -certreq -alias nbsicert -file nbscsr.csr -keystore nbskeystore.jks”
2. Após conclusão com sucesso, o arquivo “nbscsr.csr” em “C:\sslcert” deverá ter sido criado.

Passo 5 - Solicitação do Certificado SSL no site da COMODO BR

1. Abra o arquivo “nbscsr.csr” (criado no passo acima) utilizando o notepad;
2. Copie todo o seu conteúdo (crtl+A) e (crtl+C);
   • 
3. Acesse: https://www.sectigo.com.br/compra/order.php?prod=12 para certificado single domain, ou https://www.sectigo.com.br/compra/order.php?prod=13 para certificado wildcard.
4. Cole (crtl+v) dentro do campo CSR do site e selecione o servidor “Java Web Server”;
   • 
5. Clique em Avançar e preencha os dados solicitados no próximo formulário;
   • 
6. Clique em avançar, e preencha os dados do contato na empresa;
   • 
7. Clique em finalizar. Neste momento a Comodo irá validar todas as informações coletadas e se tiver tudo OK, irá enviar um e-mail de confirmação de cadastro para o e-mail do contato e solicitará uma comprovação de proprietário do domínio, enviando um e-mail de confirmação para um dos endereços abaixo:
   • postmaster@”seudominio”.com.br
   • admin@”seudominio”.com.br
   • administrator@”seudominio”.com.br
   • hostmaster@”seudominio”.com.br
   • postmaster@”seudominio”.com.br
   • webmaster@”seudominio”.com.br
8. Obs. “seudominio” é o domínio informado no nome do certificado ao criar a keystore (passo “3”, etapa “c”).
9. Agora é só aguardar o certificado gerado pela Comodo, que será entregue em instantes no e-mail do contato.

Passo 6 – Importando os certificados recebidos (raiz certificadora + certificado de domínio) no Servidor

1. Ao receber o e-mail com os certificados da Comodo, descompacte o arquivo zip recebido dentro do diretório “C:\sslcert”;
   • 
     • Obs. basicamente os 3 primeiros arquivos crt possuem o nome padrão(raiz certificadora), porem o certificado do Servidor possuirá o nome do domínio, então esse deverá possuir nomenclatura diferente ao do exemplo acima.
2. Entrar no prompt de comando do Windows (iniciar > executar > cmd <enter>;
3. Entrar na pasta criada “cd c:\sslcert”;
4. Importar a raiz certificadora para dentro da keystore criada anteriormente, para cada comando abaixo será necessário informar a senha da keystore criada anteriormente, então se você não alterou, ela será “changeit”:
   • Obs. caso em alguma etapa abaixo pedir confirmação, responda “sim” (“yes” para Windows americano)
     1. Inserir o seguinte comando e pressionar <enter>:
        • "keytool -import -v -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore nbskeystore.jks"
     2. Inserir o seguinte comando e pressionar <enter>:
        • "keytool -import -v -trustcacerts -alias COMODORSAAddTrustCA -file COMODORSAAddTrustCA.crt -keystore nbskeystore.jks"
     3. Inserir o seguinte comando e pressionar <enter>:
        • "keytool -import -v -trustcacerts -alias COMODORSADomainValidationSecureServerCA -file COMODORSADomainValidationSecureServerCA.crt -keystore nbskeystore.jks"
     4. Para o passo abaixo, deverá ser alterado o nome do certificado do seu domínio, considerando alteração, inserir o seguinte comando e pressionar <enter>:
        • "keytool -import -alias nbsicert -trustcacerts -file nome_seu_certificado.crt -keystore nbskeystore.jks"

Passo 7 – Importando as chaves privadas para dentro do GlassFish

1. Somente realize esta etapa se tiver certeza ter concluído com sucesso o passo 6 acima;
2. Ainda no servidor, no prompt de comando na pasta “C:\sslcert” execute o comando e pressione <enter>:
   • "keytool -importkeystore -srckeystore nbskeystore.jks -destkeystore C:\java\glassfish-4.1\glassfish\domains\domain1\config\keystore.jks"
3. Informe a senha da keystore, a mesma informada acima (tanto para origem como para destino);
4. Se importado com sucesso, a mensagem de retorno deverá ser basicamente conforme imagem abaixo:
   • 

Passo 8 – Configurando o GlassFish para utilizar novo alias NBS

1. Acesse as configurações do Glassfish: http//localhost:4848 (user/senha> admin/admin)
   • 
2. Acesse as configurações do http-listener-2 (Configurations > server-config > HTTP Service > Http Listeners > http-listener-2:
3. Clique na aba SSL e substitua no campo “Certificate NickName” o “s1as” para “nbsicert” e clicar no “Save”;
   • 
4. Vá para opção “server (Admin Server)” do menu esquerda e reinicie o GlassFish clicando em “Restart”:
   • 
5. Aguarde a inicialização do serviço e teste a Url HTTPS do Webservice e verifique se foi habilitada a conexão Segura SSL.
   •