Instalación de un certificado SSL en tomcat sin usar keystore

Anteriormente ya vimos cómo habilitar HTTPS en un tomcat usando keystore como almacen de certificados, vamos a ver como hacerlo sin usar ningún keystore sino directamente los certificados que nos pasan, como haríamos al habilitar SSL en nginx o en Apache.

Primero de todo deberemos instalar la tomcat native library

Una vez instalado veremos lo siguiente en el catalina.out:

INFO: Loaded APR based Apache Tomcat Native library 1.1.22.

A continuación deberemos asignar las siguiente variables al Connector SSL:

• cert.pem: Certificado que nos envía nuestra entidad certificadora, deberemos pasarlo con la variable SSLCertificateFile
• privkey.pem: Clave privada que hemos generado anteriormente para hacer la petición de firmado (CSR), la indicamos con la variable SSLCertificateKeyFile
• intermediate.pem: Certificado de la CA intermedia, también nos lo dará nuestra entidad certificadora, la especificamos con la variable SSLCACertificateFile

En el siguiente ejemplo los ficheros los dejamos en /home/tomcat/.ssl/ y añadimos al server.xml el siguiente conector:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
	maxThreads="150" scheme="https" secure="true"
	clientAuth="false" sslProtocol="TLSv1" 
	SSLCACertificateFile="/home/tomcat/.ssl/intermediate.pem"
	SSLCertificateFile="/home/tomcat/.ssl/cert.pem"
	SSLCertificateKeyFile="/home/tomcat/.ssl/privkey.pem"	
	/>

Al arrancar el tomcat veremos el siguiente mensaje en los logs, indicando que ha levantado el puerto:

INFO: Starting ProtocolHandler ["http-apr-8443"]
Mar 14, 2012 4:52:49 PM org.apache.coyote.AbstractProtocol start

Y ya lo tendremos disponible:

# netstat -tpln | grep 8443
tcp        0      0 0.0.0.0:8443                0.0.0.0:*                   LISTEN      24452/java