Hali,
mostnaban ezzel jatszogatok, es neha a belefutok erdekes dolgokba.
A legujabb:
van egy ssl cert-em, private key-jel egyutt. A szolgaltato meg ala is irta. Szoval minden frankonak tunik, de nem.
Tomcat-tel szeretnem hasznalni. Amikor osszerakom a keystore paranccsal a keystore-t, akkor nincs cert chain-em. De hogy erthetobben irjak:
van egy jks, ami tartalmazza a kuclsokat, a chain hossza 1. Jolvan, akkor hozzacsapom az intermediate cert-et, de hiaba, a chain hossza nem valtozik, hozzaraktam meg a root CA-t is, de azon kivul, hogy belekerult a keystore-ba mas nem tortent.
Persze probaltam az importot masik sorrendben: eloszor a root CA-t, majd az intermediate-t es vegul a jks-t importaltam, de a chain hossza maradt.
Ekkor nekialltam vajakolni: osszeraktam a root ca-t meg az im-et egy allomanyba (cat a baratunk), majd openssl-lel a privat es a public cert-tekkel egyutt csinaltam egy pkcs12-es keystore-t. Na itt mar a chain hossza 3 lett. Ezt atkonvertaltam jks-be es beraktam a tomcatnek. A CA kibocsato oldalon mostmar rendben vagyok chain ugyileg, csak hisztizik, hogy benne van a rootCA vegyem ki. De ez a folyamat nem megy ha nem rakom bele a rootCA-t, akkor csak az intermediate-val nem tudom megcsinalni meg a pkcs12-est sem.
Tud valaki valami ertelmes megoldast?
Hozzászólások
en a kenyelmes gui-s megoldast szoktam valasztani: xca-ban nyitsz egy uj db-t, beimportalod a privat kulcsot, a certet, az intermediate certet (root cert nem kell ugye), pkcs12-be chain-nel exportalod, aztan keytool-al importalod ahogy, mar tetted is.
mostanaban leszoktam az openssl cli-rol, lehet tul sokat vagyok windows kornyezetben es kenyelmesedem :D
(igen, tudom h van openssl winre is :P)
Hmm, ezt megsasolom.
Na, tenyleg megcsinalta, meg hasonlit is keystor-ra, csak valamiert a tomcat nem akart mukodni vele. Majd meg jatszigatok vele.
Meg ami szokott lenni, h meg kell aliasolni az import utan es az aliasra hivatkozni az appszerverben(legalabbis Glassfishen). Keytoollal lehet valtoztatni az aliasokat is tetszes szerint
Hali,
jaja, ez megvolt. Lattam, hogy az applikacio mashogy aliassol, ezert a konvertalasnal beallitottam a jo aliast.
Szerintem nem is kell a chain.
A private keystore-ba csak a kulcs és a cert kell, a trust keystoreba meg a chain-t alkotó CA-k (feltéve, hogy még valamelyik nincs benne).
Azt gyanítom, hogy a root CA pl. benne van a trust keystoreban, egy közbülső intermediate meg nincs, és emiatt nem teljes a láncod.
--
PtY - www.onlinedemo.hu, www.westeros.hu
Hali,
valojaban beleraktam a privat kulcsot, a public kulcsot az intermediatet. De a chain hossza maradt 1. A webes ellenorzo meg hisztizett, hogy nincs intermediate.
Aztan amikor megcsinaltam a masik mokat a pkcs12 formatummal, a ca-val, akkor a webes ellenorzo mar azt mondta, hogy szuper, csak warning mert benne van a ca is.
Szoval ezzel mar tudok elni, de jobb lenne, ha szepen nezne ki.
A Jettynek pl. egyáltalán nem kell bele a root CA. Nagyon meg lennék lepve, ha a Tomcat más Java standard SSL classt használna, mint a Jetty (ergó meg lennék lepve, ha a Tomcatnek kéne oda a root CA).