Sziasztok!
Volna egy kis problémám:
van egy pfx tárolóm, a tárolóban benne van a kulcs+tanúsítvány. Ezt a pfx-et szeretném beimportálni a keystoreba, ez megy is, viszont olyan hibába futottam bele, hogy a fejlesztő kollégák az alábbi Exception kapják:
Caused by: com.sun.xml.ws.client.ClientTransportException: HTTP transport error: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names present
Az alkalmazás glassfishen fut.
Amit eddig találtam:
san=ip:a.b.c.d,ip:e.f.g.h
elvileg ez megoldaná a problémát, csak nem tudom a keytoolt felparaméterezni.
Valaki találkozott hasonló problémával?
köszönöm
- 2644 megtekintés
Hozzászólások
Nem latom at a problemadat, csak annyit szeretnek leirni, hogy keytool sz.pas, hasznalj Portecle-t: http://portecle.sourceforge.net/.
----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám
- A hozzászóláshoz be kell jelentkezni
Először is szerintem a hiba: a HTTPS szerverednek nem tetszik a beimportált certificate. A keytool nevű programot nem ismerem, ezért általánosságokat fogok írni.
A "többnevű" tanúsítvány = subject alternate name (SAN) az a certificate tartalmának az egyik attributuma, funkciója hasonló a "subject" attributumhoz. Az eredeti certificate-t meg tudod nézni, ahonnan a pfx-et legyártották (ugyanis a pfx általában egy már meglevő certificate exportálásának eredménye szokott lenni), hogy annak a tulajdonságaui között (érvényességi idő, kibocsátó szerver, key usage stb. stb.) megjelenik-e a SAN is? Ha a certificate eredetileg SEM tartalmazott SAN-t, akkor 2 lehetőséged van:
1) le kell beszélni a https szervert hogy több néven is szolgáltasson webtartalmat (ez attól függ milyen virtualhostok futnak ott)
2) teljesen új certificate-t kell igényelni, amibe az igénylés során meg kell adni az összes szükséges SAN bejegyzést
--
WP8.x kritika: http://goo.gl/udShvC
- A hozzászóláshoz be kell jelentkezni
a kulcs+tanúsítvány
csak nem tudom a keytoolt felparaméterezni.
Amennyiben a tanúsítványt fixnek tekintjük, akkor a keytoolon nincs mit paraméterezni, a tanúsítvány ugyanis tartalmazza, hogy milyen nevei lehetnek a szervernek. Ha a szervert más néven is szeretnétek tudni elérni, akkor új tanúsítványt kell gyártani. Ha a tanúsítvány minden kívánt nevet tartalmaz, akkor viszont a szervert kell ennek megfelelően beállítani.
Mivel nem írtad, hogy hogyan készült a tanúsítvány, így nincs értelme nagyon belemenni, hogy hogyan lehet változtatni rajta. Ha "hivatalos", elismert CA által aláírt tanúsítványról van szó, akkor eleve a CA mondja meg a formát, ahogyan neki igényléskor meg kell mondani a szerverneveket.
- A hozzászóláshoz be kell jelentkezni
Na úgy látom adtunk annyi inputot h. túlfutott a kedves kérdező befogadóképsségén :S
--
WP8.x kritika: http://goo.gl/udShvC
- A hozzászóláshoz be kell jelentkezni