Hali,
mostnaban ezzel jatszogatok, es neha a belefutok erdekes dolgokba.
A legujabb:
van egy ssl cert-em, private key-jel egyutt. A szolgaltato meg ala is irta. Szoval minden frankonak tunik, de nem.
Tomcat-tel szeretnem hasznalni. Amikor osszerakom a keystore paranccsal a keystore-t, akkor nincs cert chain-em. De hogy erthetobben irjak:
van egy jks, ami tartalmazza a kuclsokat, a chain hossza 1. Jolvan, akkor hozzacsapom az intermediate cert-et, de hiaba, a chain hossza nem valtozik, hozzaraktam meg a root CA-t is, de azon kivul, hogy belekerult a keystore-ba mas nem tortent.
Persze probaltam az importot masik sorrendben: eloszor a root CA-t, majd az intermediate-t es vegul a jks-t importaltam, de a chain hossza maradt.
Ekkor nekialltam vajakolni: osszeraktam a root ca-t meg az im-et egy allomanyba (cat a baratunk), majd openssl-lel a privat es a public cert-tekkel egyutt csinaltam egy pkcs12-es keystore-t. Na itt mar a chain hossza 3 lett. Ezt atkonvertaltam jks-be es beraktam a tomcatnek. A CA kibocsato oldalon mostmar rendben vagyok chain ugyileg, csak hisztizik, hogy benne van a rootCA vegyem ki. De ez a folyamat nem megy ha nem rakom bele a rootCA-t, akkor csak az intermediate-val nem tudom megcsinalni meg a pkcs12-est sem.
Tud valaki valami ertelmes megoldast?
- 1747 megtekintés
Hozzászólások
en a kenyelmes gui-s megoldast szoktam valasztani: xca-ban nyitsz egy uj db-t, beimportalod a privat kulcsot, a certet, az intermediate certet (root cert nem kell ugye), pkcs12-be chain-nel exportalod, aztan keytool-al importalod ahogy, mar tetted is.
mostanaban leszoktam az openssl cli-rol, lehet tul sokat vagyok windows kornyezetben es kenyelmesedem :D
(igen, tudom h van openssl winre is :P)
- A hozzászóláshoz be kell jelentkezni
Hmm, ezt megsasolom.
- A hozzászóláshoz be kell jelentkezni
Na, tenyleg megcsinalta, meg hasonlit is keystor-ra, csak valamiert a tomcat nem akart mukodni vele. Majd meg jatszigatok vele.
- A hozzászóláshoz be kell jelentkezni
Meg ami szokott lenni, h meg kell aliasolni az import utan es az aliasra hivatkozni az appszerverben(legalabbis Glassfishen). Keytoollal lehet valtoztatni az aliasokat is tetszes szerint
- A hozzászóláshoz be kell jelentkezni
Hali,
jaja, ez megvolt. Lattam, hogy az applikacio mashogy aliassol, ezert a konvertalasnal beallitottam a jo aliast.
- A hozzászóláshoz be kell jelentkezni
Szerintem nem is kell a chain.
A private keystore-ba csak a kulcs és a cert kell, a trust keystoreba meg a chain-t alkotó CA-k (feltéve, hogy még valamelyik nincs benne).
Azt gyanítom, hogy a root CA pl. benne van a trust keystoreban, egy közbülső intermediate meg nincs, és emiatt nem teljes a láncod.
--
PtY - www.onlinedemo.hu, www.westeros.hu
- A hozzászóláshoz be kell jelentkezni
Hali,
valojaban beleraktam a privat kulcsot, a public kulcsot az intermediatet. De a chain hossza maradt 1. A webes ellenorzo meg hisztizett, hogy nincs intermediate.
Aztan amikor megcsinaltam a masik mokat a pkcs12 formatummal, a ca-val, akkor a webes ellenorzo mar azt mondta, hogy szuper, csak warning mert benne van a ca is.
Szoval ezzel mar tudok elni, de jobb lenne, ha szepen nezne ki.
- A hozzászóláshoz be kell jelentkezni
A Jettynek pl. egyáltalán nem kell bele a root CA. Nagyon meg lennék lepve, ha a Tomcat más Java standard SSL classt használna, mint a Jetty (ergó meg lennék lepve, ha a Tomcatnek kéne oda a root CA).
- A hozzászóláshoz be kell jelentkezni