如何将 letsencrypt 免费 ssl 安装到 glassfish 4.x 服务器

How to install letsencrypt free ssl to glassfish 4.x server

我扫描了 SO,发现没有关于如何在 glassfish 上安装 letsencrypt.org SSL 证书的详细说明,特别是在本教程中,我将使用 glassfish 4.1.2 build 1。经过大量试用和错误,我能够整理以下指南。所以我希望可以提出和回答我自己的问题。

在本教程中,我将使用 Ubuntu 16.04 LTS 服务器,可以从我的 Ubuntu 16.04 LTS 桌面访问 Shell。

visit certbot and follow the instructions below to setup your system

安装

在 Ubuntu 系统上,Certbot 团队维护着一个 PPA。一旦你将它添加到你的 存储库列表您需要做的就是 apt-get 以下软件包。

$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install certbot 

开始使用

由于您的服务器架构尚不支持自动安装 您必须使用 certonly 命令来获取您的证书。

$ sudo certbot certonly

终端会输出

Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
1: Place files in webroot directory (webroot)
2: Spin up a temporary webserver (standalone)
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1

我们select第一个option键1然后回车

终端会输出

Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel):yoursite.com www.yoursite.com
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for yoursite.com
http-01 challenge for www.yoursite.com

终端会输出

Select the webroot for yoursite.com:


1: Enter a new webroot
Press 1 [enter] to confirm the selection (press 'c' to cancel): 1
Input the webroot for yoursite.com: (Enter 'c' to cancel):/home/yourUsername/glassfish4/glassfish/domains/domain1/docroot

Select the webroot for www.yoursite.com:


1: Enter a new webroot
2: /home/yoursite/glassfish4/glassfish/domains/domain1/docroot


Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem

终端会输出

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/yoursite.com/fullchain.pem. Your cert will
   expire on 2017-08-21. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"

自动续订

您系统上的 Certbot 软件包附带一个 cron 作业,可以在您的证书过期之前自动更新您的证书。由于 Let's Encrypt 证书的有效期为 90 天,因此强烈建议您利用此功能。您可以通过 运行 执行此命令来测试证书的自动续订:

certbot renew --dry-run

使以下脚本可以自动将证书导入到 glassfish

进一步阅读

https://community.letsencrypt.org/t/importing-letsencrypt-into-java-and-glassfish/9711

现在我们导入证书。 制作以下脚本并将其另存为 yourscriptname.sh 以自动执行该过程,然后使用命令

运行
$ sh yourscriptname.sh

#!/bin/sh

DOMAIN=yoursite.com
#note that changeit is the default keystore password
KEYSTOREPW=changeit
GFDOMAIN=/home/yourUsername/glassfish4/glassfish/domains/domain1
LIVE=/etc/letsencrypt/live/$DOMAIN

mkdir etc
cd etc

sudo openssl pkcs12 -export -in $LIVE/cert.pem -inkey $LIVE/privkey.pem -out cert_and_key.p12 -name myalias -CAfile $LIVE/chain.pem -caname root -password pass:$KEYSTOREPW
sudo keytool -importkeystore -destkeystore keystore.jks -srckeystore cert_and_key.p12 -srcstoretype PKCS12 -alias myalias -srcstorepass $KEYSTOREPW -deststorepass $KEYSTOREPW -destkeypass $KEYSTOREPW
sudo keytool -import -noprompt -trustcacerts -alias root -file $LIVE/chain.pem -keystore keystore.jks -srcstorepass $KEYSTOREPW -deststorepass $KEYSTOREPW -destkeypass $KEYSTOREPW

sudo openssl pkcs12 -export -in $LIVE/fullchain.pem -inkey $LIVE/privkey.pem -out pkcs.p12 -name glassfish-instance -password pass:$KEYSTOREPW
sudo keytool -importkeystore -destkeystore keystore.jks -srckeystore pkcs.p12 -srcstoretype PKCS12 -alias glassfish-instance -srcstorepass $KEYSTOREPW -deststorepass $KEYSTOREPW -destkeypass $KEYSTOREPW
sudo openssl pkcs12 -export -in $LIVE/fullchain.pem -inkey $LIVE/privkey.pem -out pkcs.p12 -name s1as -password pass:$KEYSTOREPW
sudo keytool -importkeystore -destkeystore keystore.jks -srckeystore pkcs.p12 -srcstoretype PKCS12 -alias s1as -srcstorepass $KEYSTOREPW -deststorepass $KEYSTOREPW -destkeypass $KEYSTOREPW

sudo keytool -list -keystore keystore.jks -storepass $KEYSTOREPW

sudo cp -f keystore.jks $GFDOMAIN/config/

sudo service glassfish stop
sudo service glassfish start

cd ..
sudo rm -rf etc

如果您需要更改密钥库密码

使用keytool 命令。如果它不起作用,您可能必须 cd 到它在您的 glassfish-install-dir/glassfish/domains/domain1/config 目录中的路径,并 运行 该目录中的命令。

keytool -storepasswd -keystore /path/to/keystore
Enter keystore password:  changeit
New keystore password:  new-password
Re-enter new keystore password:  new-password

成功导入证书并重新启动 glassfish 服务器后,SSL 可以与已安装的 Web 应用程序一起使用,但不幸的是我无法从浏览器登录到 glassfish 管理控制台,尽管 asadmin tool 仍然有效。

解决上述更改后无法登录管理控制台

我们需要将 wget 命令添加到我们的脚本中,以便从 recent trusted ca revisions from mozilla

下载每个出现日期的最新 CA 文件修订版

将以下内容添加到命令 sudo service glassfish stop 上方的 yourname.sh 脚本中以解决问题。

wget https://curl.haxx.se/ca/cacert-2017-01-18.pem --no-check-certificate -O cacert.pem

PEM_FILE=cacert.pem
KEYSTORE=cacerts.jks

CERTS=$(grep 'END CERTIFICATE' $PEM_FILE| wc -l)

for N in $(seq 0 $(($CERTS -1))); do
    ALIAS="${PEM_FILE%.*}-$N"
    cat $PEM_FILE | awk "n==$N { print }; /END CERTIFICATE/ { n++ }" |
    keytool -noprompt -import -trustcacerts \
            -alias $ALIAS -keystore $KEYSTORE -storepass $KEYSTOREPW
done
sudo keytool -list -keystore keystore.jks -storepass $KEYSTOREPW
sudo keytool -list -keystore cacerts.jks -storepass $KEYSTOREPW

if [ ! -f $GFDOMAIN/config/keystore-orig.jks ]; then
echo "Backing up original files..."
sudo cp -f $GFDOMAIN/config/keystore.jks $GFDOMAIN/config/keystore-orig.jks
sudo cp -f $GFDOMAIN/config/cacerts.jks $GFDOMAIN/config/cacerts-orig.jks
fi
echo "Updating certificates..."
sudo cp -f keystore.jks $GFDOMAIN/config/keystore.jks
sudo cp -f cacerts.jks $GFDOMAIN/config/cacerts.jks

cd ..

echo stop and restart glassfish domain to complete

cd ..
sudo rm -rf etc

我希望这有助于大家欢呼!

我创建了一个 Perl 脚本来协助在 Glassfish 和 Payara 中安装 Let's Encrypt 证书。我已经成功地使用它不仅在大约五分钟内为多个域安装了证书,而且还通过 cron 作业自动续订了即将到期的证书。

我所做的是将获取 Let's Encrypt 证书的过程分解为以下步骤,并非所有步骤都是必需的:

  1. 为特定的本地安装自定义脚本 1a.要为其创建证书的域列表 1b. Glassfish/Payara 设置(它们在您的文件系统中的位置) 1c. Glassfish/Payara
  2. 的密码
  3. 更改 Glassfish/Payara 以侦听端口 80 和 443
  4. 生成 Let's Encrypt 证书密钥
  5. 确保密钥库密码与服务器的密码匹配
  6. 创建密钥库
  7. 将创建的密钥库导入Glassfish/Payara密钥库
  8. 将新证书应用到 https 侦听器
  9. 更新域 SSL 信息
  10. 设置(如有必要)服务器管理员密码。
  11. 设置https域

此外,可以定期调用脚本(通常通过 'cron')来检查是否有任何域需要续订,如果需要,则自动续订。

请参阅:https://github.com/hbrednek/letsencrypt_glassfish 获取脚本。