Sziasztok,
tomcat-re szeretnek globalsign (http://www.globalsign.co.uk/) altal alairt certifikaciot rakni, de
A processz megvan, hogy kell, szepen vegig csinalom a kovetkezo keppen:
lokalis cert letrehozasa:
-keytool -genkey -alias tomcat -keyalg RSA -keystore keystore.tomcat
-csr letrehozasa:
-keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore.tomcat
szepen megkapom a certreq.csr fajlomat, amit elkuldtok a globalsign-nak aki vissza is kuldi az alairt .crt file-t.
Ezek utan beimportalom a mar meglevo tomcat.keystore fajlba a ceg rootCA-t, az interCA-t es a sajat mar visszakapott/alairt .crt file-omat:
-keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file root.crt ,ezt az importot vegig csinalom az inter.crt-vel es a sajat.crt-vel is.
ezek utan a tomcat konfigjaban. vagyis a server.xml-ban megcsinalom a hivatkozast a a keystore-ra.
Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/path-to-keystore/tomcat.keystore" keystorePass="keystore jelszo"
tomcat restart es... nem mukodik!!
illetve a self signed cert-et elfogadja, tehat, https://domainev:8443 cimen elerem a honlapot, csak ugye nem biztosnagos kapcsolat, sajat certet letolteni majd elfogadni stbstb.
Ha a bongeszoben megnezem a certifikaciot, kiirja, hogy nincs rootCA telepitve, tehat ezert nem fogadja el az alair cert-et. en telepitettem a fenti keytool parancsal, ha kilistazom a keystore file-t keytool -list -el , akkor mutatja is hogy szerepel benne.
annyi talan meg erdekes lehet hogy ez egy alfresco applikacios szerver (centos 5.5), dokumentum kezelo progi, jdk-t es tomcat-et, automatikusan magatelepiti, a progi indito szkripjevel. A webes feluletes http-n igy erem el: http://alfresco.domain.com:8080/share, secure modban pedig: https://alfresco.domain.com:8443/share, de mint mondtam ez csak self signed cert-el megy, az alairt root-al nem...
Mi lehet a gond, miert nem fogadja el a rootCA-t nekem?
koszi elore is a segitseget, nagy szuksegem lenne megoldani, mar napok ota ezzel szorakozom :)
udv
- 1771 megtekintés
Hozzászólások
a connectorhoz meg ezt beirni(?):
keyAlias="root"
- A hozzászóláshoz be kell jelentkezni
igen koszi, probaltam azt is, de azt azer vettem ki mert nem volt tiszta melyik alias-t is kell beirni..
ertem ez alatt, mikor importalom be a .crt-ket a keystoreba, mindegyiknek kell adni egy aliast, a vegere lesz benne 4 aliast, es akkor melyiket kell megadni a connectorban?
- A hozzászóláshoz be kell jelentkezni
nem egy aliast kellett volna hasznalni, ha egy certrol van szo?
- A hozzászóláshoz be kell jelentkezni
Ezt nézdd meg!
- A hozzászóláshoz be kell jelentkezni
azaz:)
- A hozzászóláshoz be kell jelentkezni
Nem tudom jól értem-e a problémát:
Van egy certificate-d, amit nem a Root CA írt alá(ami a böngésző hitelesített CA-i közt szerepel), hanem egy közbülső CA?
Ha igen akkor én már találkoztam ilyen gonddal Glassfish esetén.
Az csak akkor adta ki az egész láncot a böngészőnek, ha úgy importáltam be a CA-tól kapott certificate-et, ha előtte összefűztem a közbülső CA certjével.
Magyarán:
cat SubCA.crt Server.crt > Test.crt
Majd ezt importáltam a keystore-ba.
A mindenféle alias-okkal való játék nekem nem működött, remélem, hogy tudtam segíteni.
- A hozzászóláshoz be kell jelentkezni