23/1/2020 Instalar Tomcat e importar certificado SSL existente

+ 34 982 77 60 81 |  Area de clientes

DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO

Blog » Sysadmin » Instalar Tomcat e importar certi cado SSL existente

Buscar... 

Instalar Tomcat e importar certi cado SSL

existente Entradas recientes

Autor: Noé Núñez | Fecha: 29/09/2015 | Categorías: Sysadmin | Comentarios: 3 comentarios  Qué es una API y cómo
utilizar las API de

a Facebook d Twitter k LinkedIn z Bu er J WhatsApp

WordPress

 Gravity Forms: Guía

Índice del artículo completa sobre este plugin

de formularios
Instalar Java en el VPS
Instalar Apache Tomcat  SMTP: Qué es, cómo
Con gurar Tomcat funciona y cómo se
Importar el certi cado SSL
con gura

Últimamente en Raiola Networks estamos recibiendo peticiones de clientes que quieren su  Aprende a crear tablas de

servidor de aplicaciones Java instalado en uno de nuestros servidores VPS, y es que la precios para tu web

versatilidad que ofrecen nuestros VPS nos permite realizar la con guración que sea necesaria
para tu proyecto web. Tan sólo dinos qué sistema operativo necesitas y qué versiones de
qué software, sino lo tienes claro contacta con nosotros y te asesoraremos buscando la
mejor solución para ti y entregándote el servidor VPS que realmente necesitas.

En este artículo voy a centrarme en Apache Tomcat que es uno de los servidores de

aplicaciones Java más usados. Es software libre y cuenta con una grandísima comunidad a
su alrededor, triunfando entre los desarrolladores Java por su ligereza, su simplicidad, su bajo
consumo de recursos, su cantidad de módulos disponibles y su experiencia en el terreno,
yendo ya por la versión 9 desde su estreno en 1999. Todo depende de los requerimientos de
la aplicación, si es una aplicación básica la mejor opción está en un Tomcat o un Jetty, si por
el contrario estamos hablando de una aplicación o servicio web crítico o de elevada
complejidad es mejor explorar otras opciones como puede ser Glass sh. Aquí podemos ver
una pequeña grá ca sobre la popularidad de estos servidores:

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 1/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
ACEPTAR

A continuación voy a explicar cómo instalar Tomcat en uno de nuestro servidores VPS con
CentOS 6 de 64bits y hacerlo funcionar con un certi cado SSL existente, algo que parece
trivial pero para lo cual hay que hacer un pequeño apaño para conseguir importar el
certi cado.

Instalar Java en el VPS

Voy a ir paso por paso, empezando por la con guración del entorno de pruebas en uno de
nuestros servidores VPS y posteriormente con la importación de un certi cado
SSL generado de manera externa en otro servidor. Para comenzar es necesario instalar y
con gurar la versión de Java que nos sea necesaria. En este ejemplo se instalará Java
7 introduciendo los siguientes comandos:

cd /opt/

curl -j -k -L -H "Cookie: gpw_e24=http%3A%2F%2Fwww.oracle.com%2F; oraclelicense=accept-securebackup-cookie" http://down

alternatives --install /usr/bin/java java /opt/jdk1.7.0_79/bin/java 1 && \

alternatives --install /usr/bin/javac javac /opt/jdk1.7.0_79/bin/javac 1 && \
alternatives --install /usr/bin/jar jar /opt/jdk1.7.0_79/bin/jar 1

En caso de tener algún entorno Java previamente instalado, debes modi car el número de
instalación con alternatives por el que corresponda y posteriormente con gurarlo para usar
la versión de Java que se acaba de instalar:

alternatives --install /usr/bin/java java /opt/jdk1.7.0_79/bin/java 2 && \

alternatives --install /usr/bin/javac javac /opt/jdk1.7.0_79/bin/javac 2 && \
alternatives --install /usr/bin/jar jar /opt/jdk1.7.0_79/bin/jar 2

alternatives --config java

Hay 2 programas que proporcionan 'java'.

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 2/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

Selección Comando
DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO
-----------------------------------------------
*+ 1 /usr/lib/jvm/jre-1.5.0-gcj/bin/java
2 /opt/jdk1.7.0_79/bin/java

Presione
Utilizamos Intro
cookies propias para mantener
y de terceros la información
para obtener selección actual[+],
estadística, o escriba
mostrar publicidad el número
personalizada a través delde la de
análisis selección:
tu navegación, 2
así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
ACEPTAR

Finalmente se comprueba la versión de Java y se añaden además las variables de entorno,

por ejemplo añadiendo estas líneas al archivo .bashrc:

java -version

java version "1.7.0_79"

Java(TM) SE Runtime Environment (build 1.7.0_79-b15)
Java HotSpot(TM) 64-Bit Server VM (build 24.79-b02, mixed mode)

vi /root/.bashrc

export JAVA_HOME=/opt/jdk1.7.0_79
export JRE_HOME=/opt/jdk1.7.0_79/jre
export PATH=$PATH:/opt/jdk1.7.0_79/bin:/opt/jdk1.7.0_79/jre/bin

Instalar Apache Tomcat

Una vez se encuentra el entorno Java correctamente con gurado, se procede a realizar una
instalación rápida del servidor Tomcat. Lo primero que se debe hacer es descargar la
versión que necesitemos para nuestra aplicación Java desde el sitio o cial de Apache
Tomcat.

cd /opt

curl http://www.us.apache.org/dist/tomcat/tomcat-7/v7.0.64/bin/apache-tomcat-7.0.64.tar.gz | tar xz

Tomcat viene preparado para funcionar de inmediato simplemente lanzando un script. La

con guración predeterminada tiene habilitado el puerto 8080 para que Tomcat ‘escuche’
las peticiones HTTP en este puerto. Posteriormente en este tutorial se editará el archivo de
con guración de Tomcat para añadir la con guración correspondiente al trá co HTTPS.
Véase como ejemplo la con guración por defecto que trae la nueva instalación de Tomcat:

vi /opt/apache-tomcat-7.0.64/conf/server.xml

<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />

Tomcat cuenta con una serie de scripts que facilitan entre otras tareas la inicialización y la
parada del servicio. En este escenario y si todo ha salido bien, el servidor Tomcat ya se
encontrará funcionando y escuchando en el puerto 8080 una vez se ejecute el script de
inicio.

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 3/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

/opt/apache-tomcat-7.0.64/bin/startup.sh
DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO

Using CATALINA_BASE: /opt/apache-tomcat-7.0.64

Using CATALINA_HOME: /opt/apache-tomcat-7.0.64
Using CATALINA_TMPDIR: /opt/apache-tomcat-7.0.64/temp
Using cookies
Utilizamos JRE_HOME:
propias y de terceros /opt/jdk1.7.0_79
para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
Using CLASSPATH: /opt/apache-tomcat-7.0.64/bin/bootstrap.jar:/opt/apache-tomcat-7.0.64/bin/tomcat-juli.jar
ACEPTAR

Tomcat started.

Con gurar Tomcat

Ahora que se ha hecho funcionar mínimamente Tomcat, lo lógico es querer con gurarlo
para el propósito que se necesite. Si simplemente se quería realizar algún experimento o
prueba de una aplicación Java, con esta instalación sería más que su ciente. Sin embargo si
el servidor va a ser usado en un sistema en producción, se debería realizar una
con guración a conciencia del servidor. Para esta prueba de concepto voy realizar una
con guraciones mínimas para que sea más cómodo trabajar con Tomcat.

Para facilitar el arranque y la parada del servidor Tomcat lo recomendable es añadirlo a los
servicios del sistema. Para ello hay que crear un script de inicialización y parada en la
misma ubicación donde se encuentran los scripts del resto de servicios del sistema, es decir
/etc/init.d. En este script se deben invocar a los scripts propios de Tomcat que se habían
mencionado anteriormente para encender y apagar el servidor web Java. Aquí dejo el
código, sólo hay que darle permisos 755 para que pueda ser ejecutado:

vi /etc/init.d/tomcat

#!/bin/bash
# description: Tomcat Start Stop Restart
# processname: tomcat
# chkconfig: 234 20 80
export JAVA_HOME=/opt/jdk1.7.0_79
export JRE_HOME=/opt/jdk1.7.0_79/jre
export PATH=$PATH:/opt/jdk1.7.0_79/bin:/opt/jdk1.7.0_79/jre/bin
CATALINA_HOME=/opt/apache-tomcat-7.0.64

case $1 in
start)
sh $CATALINA_HOME/bin/startup.sh
;;

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 4/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

stop)
DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO
sh $CATALINA_HOME/bin/shutdown.sh
;;
restart)
sh $CATALINA_HOME/bin/shutdown.sh
sh $CATALINA_HOME/bin/startup.sh
Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
;; ACEPTAR

esac

exit 0

chmod 755 /etc/init.d/tomcat

service tomcat start

Using CATALINA_BASE: /opt/apache-tomcat-7.0.64

Using CATALINA_HOME: /opt/apache-tomcat-7.0.64
Using CATALINA_TMPDIR: /opt/apache-tomcat-7.0.64/temp
Using JRE_HOME: /opt/jdk1.7.0_79
Using CLASSPATH: /opt/apache-tomcat-7.0.64/bin/bootstrap.jar:/opt/apache-tomcat-7.0.64/bin/tomcat-juli.jar
Tomcat started.

service tomcat stop

Using CATALINA_BASE: /opt/apache-tomcat-7.0.64

Using CATALINA_HOME: /opt/apache-tomcat-7.0.64
Using CATALINA_TMPDIR: /opt/apache-tomcat-7.0.64/temp
Using JRE_HOME: /opt/jdk1.7.0_79
Using CLASSPATH: /opt/apache-tomcat-7.0.64/bin/bootstrap.jar:/opt/apache-tomcat-7.0.64/bin/tomcat-juli.jar

Para que el servicio Tomcat que se acaba de con gurar se ejecute con el arranque del
sistema, se debe de usar el comando chkcon g y añadirlo en los niveles de ejecución que
se desee. Para este caso por ejemplo se puede lanzar en la shell algo por el estilo:

cd /etc/init.d
chkconfig --add tomcat
chkconfig --level 234 tomcat on
chkconfig --list tomcat
tomcat 0:off 1:off 2:on 3:on 4:on 5:off 6:off

Otro aspecto interesante a con gurar son los paneles de administración y herramientas
que ofrece Tomcat para que la interacción con el servidor sea más agradable. Una manera
rápida de con gurar un acceso a toda esta serie de utilidades sería crear a un usuario con
todos los roles posibles haciendo algo como esto:

vi /opt/apache-tomcat-7.0.64/conf/tomcat-users.xml

<role rolename="manager-gui"/>;
<role rolename="manager-script"/>;
<role rolename="manager-jmx"/>;
<role rolename="manager-status"/>;
<role rolename="admin-gui"/>;
<role rolename="admin-script"/>;
<user username="tomcat" password="tomcatpass" roles="manager-gui,manager-script,manager-jmx,manager-status,admin-gui,a

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 5/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

 
DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO

Una vez establecidos los roles del usuario se tendrá acceso a distintos a los paneles pero no
explicaré su utilidad ya que el objetivo del artículo es con gurar Tomcat con SSL.

 
Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
ACEPTAR

Importar el certi cado SSL

Llega ahora el momento de con gurar SSL en el servidor Tomcat instalado. Los sistemas
Java usan un almacén de certi cados propio o keystore que es la base de datos de las

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 6/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

claves privadas y sus certi cados asociados. Para manipular este almacén Java cuenta con
DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO
la utilidad keytool que se encuentra distribuida entre los binarios del entorno de desarrollo
de Java. Se podría decir que keytool es el equivalente OpenSSL pero más limitado en
funcionalidades y exclusivamente ligado al entorno Java.

Una utilidad
Utilizamos muy práctica
cookies propias de
y de terceros keytool
para es la generación
obtener información de pares
estadística, mostrar de claves,
publicidad ya que
personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
automáticamente almacena la clave pública dentro de un certi cado auto rmado.
ACEPTAR
Lógicamente este certi cado no sería válido para un entorno en producción ya que no
proviene de una autoridad certi cadora de con anza, pero serviría perfectamente para
hacer pruebas de aplicaciones SSL. Para generar el keystore con el certi cado
auto rmado, no hay más que introducir:

keytool -genkey -alias [cambiar] -keyalg RSA -keystore servidor.keystore

Sin embargo keytool no cuenta con la funcionalidad de importar una clave privada
preexistente y un certi cado generado externamente. Existe una solución a este
pequeño inconveniente que quizás a primera vista no se contempla con tanta claridad y es
que Java (a partir de su versión 6) puede manejar los cheros PKCS12 como si
fuesen almacenes de claves keystores. Por lo que echando mano del anteriormente
mencionado OpenSSL se puede convertir el certi cado y la clave privada que se quieren
importar, en un archivo PKCS12 de intercambio de información personal. Lógicamente
se necesitarán los certi cados, tanto el propio como los de la autoridad certi cadora, y la
clave privada que serán pasados a OpenSSL como parámetros. También hay que indicar el
nombre del chero PKCS12 de salida que se desea generar.

Un dato importante es que la contraseña que se establezca al crear el archivo PKCS12 debe
ser la misma que la contraseña del keystore de Java para que Tomcat funcione
correctamente. Para generar el archivo PKCS12 se debe introducir:

openssl pkcs12 -export -in certificado.pem -inkey claveprivada.pem -out midominio.p12 -name [cambiar] -CAfile autoridad

Y nalmente y ahora sí tirando provecho de la herramienta keytool, se puede importar el

archivo PCKS12 generado como si de un keystore se tratase.

keytool -importkeystore -deststorepass [cambiar] -destkeypass [cambiar] -destkeystore servidor.keystore -srckeystore mi

Para con gurar el servidor Tomcat sobre SSL usando el certi cado correctamente
importando en el almacén de certi cados de Java, se debe añadir la siguiente con guración
que habilitará el puerto que indiquemos para todo el trá co HTTPS:

vi /opt/apache-tomcat-7.0.64/conf/server.xml

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" scheme="htt

Si se reinicia Tomcat y se comprueba mediante el navegador, se puede observar que

funciona correctamente. Sin embargo en este el navegador muestra un error de validación

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 7/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

debido a que se está accediendo a través de la IP cuando un certi cado debe estar siempre
DOMINIOS Y SSL HOSTING SERVIDORES VPS SSD SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO
ligado a un dominio. Esto desaparecerá cuando se con gure el dominio a quien pertenece
el certi cado con Tomcat.

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
ACEPTAR

Finalmente se puede comprobar además la cadena de con anza entre certi cados.

Si buscas instalar Apache Tomcat en tu servidor VPS y no consigues con gurarlo, puedes

contactar con nosotros sin compromiso y te ayudaremos a resolver el problema para que
puedas ejecutar tus aplicaciones Java.

[Total: 4 Promedio: 5]

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 8/9
23/1/2020 Instalar Tomcat e importar certificado SSL existente

a Facebook d Twitter
DOMINIOS Y SSL
k LinkedIn
HOSTING
z Bu er J
SERVIDORES VPS SSD
WhatsApp
SERVIDORES DEDICADOS SERVICIOS BLOG CONTACTO

Autor: Noé Núñez

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales.
Si continúas navegando, consideramos que aceptas nuestra Política de cookies.
Mi nombre es Noé Núñez, ingeniero informático por la UDC, SysAdmin en
ACEPTAR

Raiola Networks y amante de los sistemas y las redes en general. Surfeando la

red desde que tengo uso de razón.

     

Avenida de Magoi nº66 Contacto Suscríbete al newsletter:

Semisótano Derecha Empleo ¡recibirás un descuento de
27002 Lugo Blog regalo!
España A liados
Email *
Migraciones
CIF: B27453489
Cuál es mi IP
VAT: ESB27453489
Términos de uso
 Información básica sobre protección de
Política de privacidad datos:

Política de cookies
*He leído y acepto la política de
Mapa del sitio
privacidad
Aviso legal
Kit de prensa QUIERO MI DESCUENTO
RMC Galicia 2020
BlackFriday 2019

Los precios mostrados no incluyen IVA

    

https://raiolanetworks.es/blog/instalar-tomcat-e-importar-certificado-ssl-existente/ 9/9