GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

Gerar certificado Let’s encrypt e instalar em seu servidor de aplicações.

Nesse tutorial será demonstrado um passo a passo para aqueles que não tem muita familiaridade com geração
de certificados.

Procurei fazer da forma mais fácil possível, usando recursos e facilitadores da web. Existem outras formas de gerar
e configurar os certificados, este é apenas uma destas formas.

Seguindo o passo a passo, acredito que seja possível usar o certificado em seu projeto de forma fácil e intuitiva.
Foi utilizado nesse tutorial o sistema operacional Windows, visto que abrange uma grande parte dos servidores que usam
aplicações com o Maker e para um fácil entendimento. Para aqueles que desejam usar em servidores Linux, é o mesmo
procedimento abaixo, trocando os diretórios e caminhos dos arquivos.

 Recursos necessários.
o KeyStore Explorer 5.3.2 – Aplicativo responsável por criar os dados necessários do certificado. Realizar o
download e fazer a instalação padrão do aplicativo.
o https://zerossl.com/ - Site responsável em gerar o certificado Let’s encrypt.

1º). Vamos gerar nosso certificado a partir do aplicativo keyStore Explorer.

1.1 – Abra o aplicativo KeyStore Explorer e clique em Create a new KeyStore.

1.2 – Selecione a opção JKS
1.3 – Navegue até o menu Tools Generate Key Pair ou pressione CRTL+G
1.4 – Clique em Ok na próxima tela. Aqui mostra o tamanho da chave sendo um padrão manter, pois será
compatível com a maioria dos navegadores. Aguarde a criação da chave, esse processo pode demorar
alguns segundos dependendo do processador da máquina.

1.5 – Ao concluir a geração da chave, será encaminhado para a tela abaixo, onde deverá realizar alguns
outros procedimentos.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 1

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

1.6 – A partir desta tela vamos configurar as informações do certificado. Para iniciarmos este processo,
vamos clicar no livro ao lado do campo Name.
Atenção: Não abrevie as informações nem utilize caracteres especiais incluindo letras acentuadas.
Ao final da configuração, sua tela deve ser parecida com esta, ajustando as informações
correspondentes ao seu domínio.

1.7 Vamos a uma breve descrição do que foi preenchido.

1.8 O campo "CN" (Common Name), deve ser preenchido com o endereço web para o qual planeja utilizar
o seu Certificado.
Atenção: Aqui se usarmos como exemplo "meudominio.com.br" o certificado não será válido para
"sistema.meudominio.com.br", pode-se gerar quantos certificados forem necessários, nesse caso,
teríamos dois certificados, um para o domínio principal, e outro para o subdomínio.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 2

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

O campo "OU" (Organizational Unit)

O preenchimento é opcional. Utilize caso seja solicitado ou caso o domínio tenha mais de um
certificado.
O campo "O" (Organization)
Deve ser preenchido com a Razão Social ou Nome Fantasia, sem abreviações ou omissões, exatamente
como consta no CNPJ da empresa.
O campo “L” deve ser informado a cidade ou local do cadastro da empresa ou domínio.
O campo “ST” deve ser preenchido com o nome do estado onde a empresa está localizada.
O campo “C” deve ser preenchido com o nome do país de origem.

Após estes passos, basta clicar em OK para confirmar.

1.9 Após os passos acima, vamos clicar mais uma vez em OK para confirmar as informações.

1.10 Será solicitado um Alias para o certificado, nada mais que uma identificação para o mesmo. É
aconselhado manter o nome sugerido.
1.11 Será solicitado uma senha, esta senha será utilizada logo mais à frente para a utilização do
certificado pelo nosso servidor de aplicações Tomcat. Nesse caso vamos usar uma senha de
demonstração “123456”, que deve ser substituído pelo usuário na hora da geração de seu certificado,
mantendo a máxima segurança é aconselhado o uso de senhas fortes.

1.12 Nesse momento geramos com sucesso a chave do certificado com sucesso. Vamos agora a
geração e validação do certificado. Mantenha aberto o software KeyStore Explorer, ainda vamos usar
ele para agregar as informações do certificado a chave gerada.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 3

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

1.13 Vamos gerar nosso CSR, para isso na próxima tela, clique com botão direito em cima do Alias E
clique em Generate CSR. Na próxima tela no campo CSR File, escolha onde salvar o CSR. Será
armazenado um arquivo do tipo csr. Algo próximo a este exemplo abaixo.

-----BEGIN CERTIFICATE REQUEST-----

MIICyjCCAbICAQAwgYQxCzAJBgNVBAYTAkJSMQ4wDAYDVQQIDAVCYWhpYTERMA8GA1UEBwwIU2F
s
dmFkb3IxGjAYBgNVBAoMEU1pbmhhIE9yZ2FuaXphY2FvMRowGAYDVQQLDBFNaW5oYSBPcmdhbml
6
YWNhbzEaMBgGA1UEAwwRbWV1ZG9taW5pby5jb20uYnIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDw
Aw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-----END CERTIFICATE REQUEST-----

1.14 Vamos entrar no link https://zerossl.com/ e a partir deste site, vamos gerar o certificado Let’s
encrypt e passar as informações exigidas. Note que ao abrir o site, o mesmo apresenta na parte direita
do site dois botões, ONLINE TOOLS e DOWNLOADS.
Para facilitar a geração do certificado, vamos usar o ONLINE TOOLS.
Após clicar no botão acima, vamos clicar no botão START conforme imagem abaixo.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 4

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

1.15 Na próxima tela, vamos informar o CSR gerado anteriormente. Note que também foram
marcadas as opções de Accept ZeroSSL e Accept Let’s encrypt SA, vamos dar continuidade clicando
em Next.

1.16 Na próxima tela, será gerado a chave privada do certificado, vamos baixar esta chave e
guardar junto com a pasta onde será guardado o certificado. Após salvar o arquivo, vamos dar
continuidade, bastando clicar em Next novamente.
1.17 A partir daqui o Let’s encrypt vai validar seu domínio. Uma espécie de confirmação que o
domínio é seu, e que não será utilizado por pessoas não autorizadas. Por isso, ele pede que seja feita
uma confirmação do certificado em um link do tipo HTTP ou DNS... nesse caso, vamos usar o DNS por
ser mais fácil. Vamos observar a próxima tela abaixo, ela deverá conter as instruções para validar o
certificado.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 5

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

1.18 Na imagem acima, conseguimos ver quais as instruções são solicitadas para a validação do
certificado. Observa-se que é necessário incluir em seu domínio ou subdomínio a informação _acme-
challenge.meudominio.com.br do tipo TXT.
Para fazer esse procedimento é simples, basta ir onde foi registrado o domínio e acrescentar uma
entrada do tipo TXT nas configurações de DNS. Exemplo na imagem abaixo.
Atenção: Essas configurações de inclusão variam de cada empresa de registro, no geral, a maioria tem
um painel como este, onde é possível realizar as configurações de apontamento de dns, txt, mx, etc.

1.19 O próximo passo, na tela do zerossl, basta clicar em Next para realizar a validação do
domínio ou subdomínio. Lembrando que esse processo de validação pode demorar, depende da
publicação de DNS do registro, geralmente leva em torno de 20 minutos... para acompanhar se foi
publicado ou não, basta ir no CMD do Windows e digitar o comando nslookup -q=TXT _acme-
challenge.meudominio.com.br
DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 6
GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

Dentre o resultado do comando acima, vai mostrar a chave, no nosso caso, essa chave
6fmxYQbUNaZ6MAUbJKAFrz9FVvMuMLPzkCJlaYqjR8U

1.20 Ao validar o domínio ou subdomínio, aparecerá a tela abaixo indicando que seu certificado
foi gerado com sucesso.

1.21 O próximo passo é buscar os dados que estão na parte debaixo desta página e importar
para a chave que está aberto no software KeyStore Explorer, para isso, vamos copiar todo o código
que está na caixa ao lado, iniciando sempre com o -----BEGIN CERTIFICATE----- e finalizando com o ---
--END CERTIFICATE-----.
1.22 De posse do certificado na área de transferência, vamos voltar ao KeyStore Explorer.
Agora, basta clicar com botão direito em cima da chave, ir em Import CA Reply – From ClipBoard ou
do arquivo caso tenha baixado o arquivo para o computador.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 7

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

1.23 Ao importar, deverá aparecer a mensagem abaixo caso dê certo, caso contrário, deverá
repetir todos os passos.

1.24 Agora vamos salvar nosso certificado, quando for salvar, será solicitado a senha
novamente.
Após informar a senha, será aberto uma janela onde deverá informar onde deseja salvar o arquivo...
Atenção nessa fase, pois ao salvar, deve-se informar a extensão do arquivo, no nosso caso jks.

Chegamos aqui ao final do processo de gerar o certificado.

Vamos agora a configuração do nosso servidor de aplicação Tomcat.

Vamos nos atentar a porta utilizado do certificado, sendo a porta padrão 443, deve ser realizado as
configurações nos arquivos de configuração do Tomcat.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 8

 GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

Configuração do servidor de aplicação Tomcat.

2 Localize o diretório de arquivos de configuração do Servidor de aplicações, geralmente localizada na C:\Program

Files\Apache Software Foundation\Tomcat 9.0\conf
2.1 Abra o arquivo Server.xml e insira o conteúdo abaixo
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="c:\temp\meucertificado.jks" keystorePass="123456"
clientAuth="false" sslProtocol="TLS"/>

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 9

 GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

3 Após editar o arquivo Server.xml salve o arquivo, vamos agora ao arquivo Web.xml
3.1 Insira as informações abaixo no arquivo Web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>securedapp</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 10

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

</user-data-constraint>
</security-constraint>

3.2 Salve o arquivo. Reinicie seu Tomcat, o mesmo já deve aparecer com a barra verde e o certificado
ativado no navegador.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 11

GERAR CERTIFICADO LET’S ENCRYPT E INSTALAR EM SERVIDORES TOMCAT 27/06/2018

Considerações finais

Esse mini tutorial foi feito para a comunidade que usa o Maker e deseja usar certificado digital em
suas aplicações, utilizamos o Let’s encrypt como certificadora por ser gratuito a geração, utilização e
divulgação.
Foram realizados as configurações no ambiente Windows, visto que a maior parte dos usuários do
Maker Softwell utilizam este ambiente. No caso daqueles que utilizam Linux, pode ser realizado os
mesmos parâmetros, observando que o KeyStore Explorer é multi-plataformas, tendo sempre
atenção aos parâmetros e caminhos utilizados para que o Tomcat saiba exatamente onde localizar o
certificado e criptografar a conexão entre o servidor e o cliente.

Em caso de dúvidas, estou a disposição através do Skype: danielviana.ti

Juntos somos mais fortes.

Um forte abraço a todos.

DANIEL VIANA – 2018 – TODOS OS DIREITOS RESERVADOR 12