keytool import pfx (MEGOLDVA)

Fórumok

Sziasztok!

Volna egy kis problémám:

van egy pfx tárolóm, a tárolóban benne van a kulcs+tanúsítvány. Ezt a pfx-et szeretném beimportálni a keystoreba, ez megy is, viszont olyan hibába futottam bele, hogy a fejlesztő kollégák az alábbi Exception kapják:

Caused by: com.sun.xml.ws.client.ClientTransportException: HTTP transport error: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names present

Az alkalmazás glassfishen fut.

Amit eddig találtam:

san=ip:a.b.c.d,ip:e.f.g.h

elvileg ez megoldaná a problémát, csak nem tudom a keytoolt felparaméterezni.

Valaki találkozott hasonló problémával?

köszönöm

Hozzászólások

Először is szerintem a hiba: a HTTPS szerverednek nem tetszik a beimportált certificate. A keytool nevű programot nem ismerem, ezért általánosságokat fogok írni.

A "többnevű" tanúsítvány = subject alternate name (SAN) az a certificate tartalmának az egyik attributuma, funkciója hasonló a "subject" attributumhoz. Az eredeti certificate-t meg tudod nézni, ahonnan a pfx-et legyártották (ugyanis a pfx általában egy már meglevő certificate exportálásának eredménye szokott lenni), hogy annak a tulajdonságaui között (érvényességi idő, kibocsátó szerver, key usage stb. stb.) megjelenik-e a SAN is? Ha a certificate eredetileg SEM tartalmazott SAN-t, akkor 2 lehetőséged van:

1) le kell beszélni a https szervert hogy több néven is szolgáltasson webtartalmat (ez attól függ milyen virtualhostok futnak ott)
2) teljesen új certificate-t kell igényelni, amibe az igénylés során meg kell adni az összes szükséges SAN bejegyzést
--
WP8.x kritika: http://goo.gl/udShvC

a kulcs+tanúsítvány

csak nem tudom a keytoolt felparaméterezni.

Amennyiben a tanúsítványt fixnek tekintjük, akkor a keytoolon nincs mit paraméterezni, a tanúsítvány ugyanis tartalmazza, hogy milyen nevei lehetnek a szervernek. Ha a szervert más néven is szeretnétek tudni elérni, akkor új tanúsítványt kell gyártani. Ha a tanúsítvány minden kívánt nevet tartalmaz, akkor viszont a szervert kell ennek megfelelően beállítani.

Mivel nem írtad, hogy hogyan készült a tanúsítvány, így nincs értelme nagyon belemenni, hogy hogyan lehet változtatni rajta. Ha "hivatalos", elismert CA által aláírt tanúsítványról van szó, akkor eleve a CA mondja meg a formát, ahogyan neki igényléskor meg kell mondani a szerverneveket.