Instalace webového certifikátu a certifikátu certifikační autority, kde běží ERA se stejně jako třeba u BlackBerry Serveru nebo ELO Professional, jež využívají jako webserver Apache Tomcat (konfigurace v /etc/tomcat/server.xml), provádí přes nástroj keytool. Certifikáty se následně uloží do vlastně definovaného keystoru.
Návodů k tomu, jak nainstalovat certifikát přes keytool je na internetu spousta. Bohužel téměř nikdo neřeší žádost o certifikát, která by obsahovala právě i ALT DNS. Proč? Protože Google Chrome od verze 58 u certifikátu webu už nekontroluje URL přes common name (CN), nýbrž přes Subject Alternative Name (SAN). Je tedy třeba nainstalovat certifikát, který už SAN DNS obsahuje.
Návod je vlastně úplně jednoduchý. Stačí si dobře přečíst manuál ke keytoolu, ale především při procesu exportu žádosti o certifikát z keytoolu nezapomenout k exportu připojit i ono ALT DNS.
Postup:
Zazálohujeme starý keystore, např. příkazem:
#mv era.keystore era.keystore_backup
Vytvoříme klíčový pár(veřejný a osobní klíč) s určitým aliasem (např. era), který uložíme do nového kystoru (např. era.keystore) s nějakým heslem. Keypass je heslo, které slouží k ochraně osobního klíče u vygenerovaného klíčového páru. Naopak storepass je heslo, které slouží k ochraně keystoru. Většina nástrojů třetích stran doporučuje obě hesla nastavit stejná. Nakonec vložíme informace týkající se budoucího certifikátu, tedy CN:
#keytool -genkeypair -alias "era" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/etc/tomcat/era.keystore" -storepass "heslo" -keypass "heslo" -dname "CN=era.domena.local, OU=IT, O=firma, L=neco, ST=neco, C=CZ" -ext san=dns:era.domena.local
Následně na základě privátního klíče vytvořím žádost o vystavení certifikátu
#keytool -certreq -alias "era" -file /cesta/era.csr -keystore /etc/tomcat/era.keystore -ext SAN=dns:era.domena.local
Důležité je opět nezapomenout při žádosti na externí atributy v podobě „-ext SAN=dns:era.domena.local"
U certifikační autority následně vložíme žádost a stáhneme certifikát.
Do vytvořeného keystore pak už jednoduše naimportujeme
1) certifikát CA,
2) certifikát webserveru era.domena.local.
Nakonec je ještě třeba upravit na začátku článku zmíněný konfigurační soubor Apache Tomcatu v /etc/tomcat/server.xml, kde nastavíme heslo do keystore a správný alias k web. certifikátu (v tomto případě je alias=era).
Po restartu Tomcatu může i nadále mít Chrome problém s validitou certifikátu.
V tom případě je dobré promazat keš (nebo Menu > Další nástroje > Nástroje pro Vývojáře > TAB Application a Clear site data).