Hinzufügen von Zertifikat-Kette p12(pfx) Zertifikat
Ich habe das angegebene Modul wurde in java und cxf die Verbindung zu WebServices mit client-Zertifikat.
Bekam ich Zertifikate bilden WebService Inhaber
- Zertifikat.p12
- Zertifikat.pem -
- Zertifikat.crt
- trusted_ca.cer
- root_ca.cer
Problem habe ich mit einfach konvertieren das p12 Zertifikat zu arbeiten jks bestimmten keystore von java.
Habe ich dieses:
keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore certificate1.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret
keytool -import -alias trusted -file trusted_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret
aber das jks funktioniert nicht und ich bekomme die HTTP-Antwort '403: Forbidden', wenn die Nutzung dieser certificate1.jks
Aber wenn ich den import dieses p12(pfx) - Zertifikat für den Internet Explorer und dann exportieren Sie das Zertifikat aus dem IE zu pfx-format auswählen "alle Zertifikate im Zertifizierungspfad" Kontrollkästchen, und verwenden Sie:
keytool -importkeystore -srckeystore certificate.pfx -srcstoretype PKCS12 -destkeystore certificate2.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret
keytool -import -alias trusted -file trusted_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret
Dann funktioniert alles einwandfrei und ich kann eine Verbindung zum WebService mit certificate2.jks.
Ich fand, dass das original-Zertifikat.p12(pfx) enthält nur einen Eintrag (Certificate chain length: 1):
keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v
*******************************************
*******************************************
Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=MyCompany, EMAILADDRESS=my.email@domain.com, O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
DigitalSignature
Key_Encipherment
]
...
*******************************************
*******************************************
beim Zertifikat.pfx exportiert IE mit "alle Zertifikate im Zertifizierungspfad" enthält eine Zertifikat-Kette mit dem zweiten Vertrauenswürdiges CA-Zertifikat (Certificate chain length: 2):
keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v
*******************************************
*******************************************
Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=MyCompany, EMAILADDRESS=my.email@domain.com, O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
DigitalSignature
Key_Encipherment
]
...
Certificate[2]:
Owner: CN=Trusted CA, O=ble ble ble, C=PL
Issuer: CN=ROOT CA, O=ble ble ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
*******************************************
*******************************************
Also um mein problem zu lösen brauche ich, um p12-Zertifikat mit Kette zu den vertrauenswürdigen CA-Zertifikats.
Ich kann dies tun, indem Sie importieren p12 DH und dann den Export wieder mit "alle Zertifikate im Zertifizierungspfad".
Wie kann ich dies tun ohne den IE mithilfe von keytool oder einem anderen tool?
Bary
InformationsquelleAutor bary | 2013-09-13
Du musst angemeldet sein, um einen Kommentar abzugeben.
Eigene Antwort.
Ich herausgefunden, wie dies mit OpenSSL:
Hinzufügen, um die
-nokeys
option, um den letzten Befehl. Ich habe OpenSSL-1.0.1 e-fips 11 Feb 2013Ich verbrachte Stunden auf der Suche für diese Funktionalität. Fantastisch! Ich brauchte es für Tomcat 7.0.63 auf Windows 2008 R2.
Stack Overflow ist eine Website, die für die Programmierung und Entwicklung Fragen. Diese Frage scheint off-topic, weil es nicht um die Programmierung oder Entwicklung. Siehe Was für Themen kann ich Fragen hier in der Hilfe. Vielleicht Super User oder Unix & Linux Stack Exchange wäre ein besserer Ort, um zu Fragen. Siehe auch Wo Stelle ich Fragen über Dev-Ops?
Sie würde Sie nur die
-nokeys
option, wenn Sie nicht soll der private Schlüssel gespeichert werden, die daraus resultierenden pfx-DateiInformationsquelleAutor bary