Die Verlängerung eines Zertifikats im Tomcat keystore hat ein paar Stolperfallen. Hier eine Schritt für Schritt Anleitung:
CSR
Beim Zertifikatsaussteller des Vertrauens ist mit dem CSR ein neues Zertifikat zu beauftragen. Das erste CSR kann weiter verwendet werden. Liegt dieses nicht vor, muss ein neues CSR mittels keytool und aktuellem keystore erstellt werden.
CRT
Erste Stolperfalle: Kommt das Zertifikat mit sogenannten Intermediate-Zertifikaten der Zertifizierungsstelle, sind diese zuerst zu importieren! Es können mehrere Zertifikate in der Datei intermediate.crt enthalten sein.
keytool -import -alias intermed -keystore ./tomcat.keystore -trustcacerts -file ./www.mywebsite.foo-2011-12-14.intermediate.crt
Danach wird das eigentliche Zertifikat importiert. Hier lauert die nächste Stolperfalle: Das neue Zertifikat muss mit dem gleichen Alias importiert werden wie das alte.
keytool -import -alias tomcat -trustcacerts -file ./www.mywebsite.foo-2011-12-14.crt -keystore ./tomcat.keystore
In diesem Beispiel ist der Alias „tomcat“.
Mittels
keytool -v -list -keystore ./tomcat.keystore
lässt sich der Alias herausfinden.
Tomcat
Ein Tomcat Neustart ist notwendig damit der neue Keystore geladen wird.