Logo ID Digital

Cómo instalar certificados SSL en JBOSS

Guía técnica para generar el CSR con keytool, instalar el certificado y configurar JBOSS para publicar tu aplicación por HTTPS.

Introducción

Este manual explica cómo instalar un certificado SSL en un Application Server JBOSS utilizando un almacén de claves JKS y la herramienta keytool. Incluye la creación del CSR, la instalación del certificado emitido y las configuraciones necesarias en el servidor para habilitar HTTPS.

Requisitos

Antes de comenzar, verificá que:

  • Tenés una instancia de JBOSS instalada y funcionando.
  • Podés acceder por consola al servidor.
  • Contás con permisos para editar los archivos de configuración del servidor.
  • Conocés la ruta al home de JBOSS ($JBOSS_HOME).

El archivo JKS (almacén de certificados) se ubica normalmente en:

$JBOSS_HOME/appserver/domains/MiDominio/config/

donde:

  • $JBOSS_HOME es el directorio home de la instancia de JBOSS.
  • MiDominio es la carpeta del dominio en el que vas a instalar el certificado SSL.

1. Crear el CSR con keytool

El CSR (Certificate Signing Request) es el archivo que contiene la información necesaria para que la Autoridad Certificadora pueda emitir tu certificado SSL.

1.1 Crear el almacén JKS

Primero necesitás crear el almacén de certificados (.jks) donde se guardará la clave privada y, más adelante, el certificado SSL.

Desde la consola, ubicáte en la carpeta donde querés crear el almacén (por ejemplo, la carpeta config del dominio) y ejecutá:

keytool -genkey -alias midominio -keyalg RSA -keystore almacen.jks -keysize 2048
  • -alias midominio: nombre interno que identifica el certificado dentro del almacén.
  • -keystore almacen.jks: nombre del archivo JKS que se va a crear.
  • -keysize 2048: genera una clave de 2048 bits (recomendado por seguridad).

El asistente de keytool te pedirá:

  • Nombre y apellido.
  • Nombre de la organización.
  • Unidad organizativa (por ejemplo, “Sistemas”).
  • Ciudad/localidad.
  • Estado/provincia.
  • Código de país (por ejemplo, UY).
  • Contraseña para proteger el almacén (keystore password).

Guardá esa contraseña: la vas a necesitar luego para importar el certificado y para configurarlo en JBOSS.

1.2 Generar el CSR

Una vez creado el almacén JKS, generá el CSR con:

keytool -certreq -alias midominio -file solicitud.csr -keystore almacen.jks

Esto va a crear el archivo solicitud.csr en la carpeta actual.

1.3 Enviar el CSR

  1. Abrí el archivo solicitud.csr con un editor de texto.

  2. Copiá todo el contenido, incluyendo las líneas:

    • -----BEGIN NEW CERTIFICATE REQUEST-----
    • -----END NEW CERTIFICATE REQUEST-----

  3. Pegá ese contenido en el formulario de solicitud de certificado del sitio de ID Digital Abitab o envialo según las instrucciones recibidas.

Luego de esto, la Autoridad Certificadora emitirá tu certificado SSL y te enviará los archivos correspondientes.

2. Instalar el certificado SSL emitido

Cuando el certificado esté emitido, vas a recibir uno o más archivos (certificado del sitio y, en algunos casos, certificados intermedios).

2.1 Preparar los archivos de certificado

  1. Descargá el certificado que te envía la Autoridad Certificadora.

  2. Guardá el archivo en la misma carpeta donde está el almacén almacen.jks, por ejemplo con el nombre:

    certificado.pem o certificado.cer

  3. Si la Autoridad Certificadora entrega también certificados intermedios y/o certificado raíz, guardalos en archivos separados (por ejemplo ca_intermedia.pem, ca_raiz.pem).

2.2 Importar certificados de la CA en el almacén

Si recibiste certificados raíz o intermedios, primero importalos al almacén JKS como certificados de confianza:

keytool -importcert -trustcacerts -alias ca_raiz -file ca_raiz.pem -keystore almacen.jks

keytool -importcert -trustcacerts -alias ca_intermedia -file ca_intermedia.pem -keystore almacen.jks
  • Aceptá la huella digital del certificado cuando keytool lo solicite.
  • Utilizá la misma contraseña del almacén JKS cuando se te pida.

2.3 Importar el certificado del servidor

Por último, importá el certificado emitido para tu dominio usando el mismo alias que utilizaste para generar la clave y el CSR (midominio):

keytool -importcert -alias midominio -file certificado.pem -keystore almacen.jks

Si la operación es correcta, keytool mostrará un mensaje indicando que el certificado fue importado exitosamente.

Importante: el alias del certificado (midominio) debe ser el mismo que usaste al crear la clave privada en el paso 1.1.

3. Configurar HTTPS en JBOSS

El paso siguiente es indicar a JBOSS dónde está el almacén (.jks), qué contraseña utiliza y qué alias debe usar para el certificado.

La configuración concreta depende de la versión (por ejemplo, JBoss AS, WildFly, EAP), pero en general se realiza en los archivos de configuración del dominio/standalone.

3.1 Configurar el conector HTTPS (ejemplo genérico)

En un entorno tipo WildFly/JBoss EAP que use el subsistema Undertow, se suele configurar un security-realm y un https-listener.

Ejemplo de configuración (a modo ilustrativo) en standalone.xml o domain.xml:

  1. Definir el security-realm con la ruta al JKS:

  2. Asociar el realm al listener HTTPS (dentro del subsistema undertow):

Asegurate de:

  • Actualizar keystore-path con la ruta correcta a tu almacen.jks.
  • Usar la contraseña real del almacén en keystore-password.
  • Usar el alias correcto (midominio en este ejemplo).

3.2 Reiniciar JBOSS

Una vez actualizados los archivos de configuración:

  1. Guardá los cambios en el archivo de configuración (standalone.xml o domain.xml).

  2. Reiniciá el servidor JBOSS desde la consola o el script correspondiente, por ejemplo:

    $JBOSS_HOME/bin/standalone.sh (en Linux) %JBOSS_HOME%\bin\standalone.bat (en Windows)

o el comando equivalente si se trata de un dominio (domain.sh, domain.bat).

4. Verificación del certificado SSL

Cuando JBOSS haya arrancado nuevamente:

  1. Abrí un navegador web.

  2. Accedé a la URL del servidor usando https, por ejemplo:

    https://midominio.com
    https://midominio.com:8443 (si estás usando un puerto HTTPS distinto de 443)

  3. Comprobá que:

    • El navegador muestre el candado de conexión segura.
    • El certificado se vea como válido y emitido para el dominio correcto.
    • No aparezcan advertencias de certificado no confiable.

Si el navegador muestra advertencias:

  • Revisá que se haya importado correctamente la cadena completa de certificados (raíz + intermedios).
  • Verificá que la fecha y hora del servidor sean correctas.
  • Confirmá que el dominio de la URL coincida con el Common Name (CN) del certificado.

Recomendaciones

  • Guardá una copia de seguridad del archivo almacen.jks en un lugar seguro.
  • No compartas la contraseña del keystore ni lo copies a equipos no confiables.
  • Ante cambios de dominio o migraciones de servidor, revisá si es necesario generar un nuevo CSR y emitir un nuevo certificado.
  • Renová el certificado SSL antes de su fecha de vencimiento para evitar interrupciones de servicio.

Recursos