Invalid keystore format mit SSL in Tomcat 6

Ich versuche zum einrichten von SSL in meinem lokalen Tomcat 6 installation. Für diese habe ich die offizielle How-To Sie Folgendes tun:

$JAVA_HOME/bin/keytool -genkey -v -keyalg RSA -alias
          tomcat -keypass changeit -storepass changeit
$JAVA_HOME/bin/keytool -export -alias tomcat -storepass
          changeit -file /root/server.crt

Dann ändern $CATALINA_BASE/conf/server.xml in-kommentieren diese:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/root/.keystore" keystorePass="changeit" />

Nach dem Start von Tomcat bekomme ich diese Exception:

INFO: Initializing Coyote HTTP/1.1 on http-8080
30.06.2011 10:15:24 org.apache.tomcat.util.net.jsse.JSSESocketFactory getStore
SCHWERWIEGEND: Failed to load keystore type JKS with path /root/.keystore
due to Invalid keystore format
java.io.IOException: Invalid keystore format
      at sun.security.provider.JavaKeyStore.engineLoad(JavaKeyStore.java:633)
      at sun.security.provider.JavaKeyStore$JKS.engineLoad(JavaKeyStore.java:38)
      at java.security.KeyStore.load(KeyStore.java:1185)

Wenn ich einen Blick in den keystore mit keytool -list bekomme ich

root@host:~# $JAVA_HOME/bin/keytool -list
Enter key store password: changeit
Key store type: gkr
Key store provider: GNU-CRYPTO

Key store contains 1 entry(ies)

Alias name: tomcat
Creation timestamp: Donnerstag, 30. Juni 2011 - 10:13:40 MESZ
Entry type: key-entry
Certificate fingerprint (MD5): 6A:B9:...C:89:1C

Offensichtlich, wird die keystore-Typen sind unterschiedlich. Wie kann ich den Typ ändern und wird in diesem Update mein problem? Danke!

InformationsquelleAutor strauberry | 2011-06-30
  1. 13

    Sieht es aus wie die keytool bist du mit dem GNU-Umsetzung, nicht das von Oracle/Sun oder OpenJDK. Aus der Ausgabe von keytool -list erzeugt es eine gkr store-Typ, der ein GNU Schlüsselbund Speichern.

    Ich bin mir nicht sicher, ob dein run Apache Tomcat mit einem OpenJDK oder Sun/Oracle JRE, in dem Fall das format würde nicht unterstützt werden, ohne zusätzliche Sicherheitsleistungen.

    Wenn Sie Apache Tomcat mit einer GNU-JRE unterstützt gkr (oder mindestens ein JRE, wo Sie Hinzugefügt haben, ein security-Anbieter, unterstützt gkr), können Sie versuchen keystoreType="gkr" in Ihrem <Connector /> Konfiguration.

    Jedoch, die einfachste ist wohl die Verwendung keytool wie von Oracle oder OpenJDK, und verwenden Sie die storetype JKS (das wäre der Standard-Typ wenn Sie Apache Tomcat mit der OpenJDK oder Sun/Oracle JRE). Es war wahrscheinlich installierten JRE, aber es sieht nicht wie der $JAVA_HOME Sie sind mit einer Punkt-zu einer Oracle oder OpenJDK JAVA_HOME. Einige Linux-Distributionen haben Mechanismen zu installieren, die mehrere JREs und konfigurieren von links (update-alternatives im Debian/Ubuntu-Familie).

    (Als Randbemerkung, es ist in der Regel nicht empfohlen, Apache Tomcat als root, das scheinen Sie zu tun, da $HOME/.keystore ist /root/.keystore in deinem Beispiel.)

    • Vielen Dank für deine Antwort 🙂 Es gibt ein paar kleine zusätzliche Fragen ^^ welcher Benutzer Sie ausgeführt werden sollten, Tomcat? Wie Sie wissen, diese keytool-Zeug? Das wäre das Letzte, was Sie denken, dass es so viele verschiedene Versionen auf meinem computer?! Und schließlich: ich habe eine .keystore und einem server.crt mit genannten Befehle. Tomcat startet vollständig, aber der browser noch erwähnt, dass das Zertifikat nicht zutraulich... ich'wird erstellen Sie eine bounty, um Ihnen einige weitere Punkte 🙂
    • Konfigurieren Sie Ihr mehrere Java-Installationen, betrachten update-java-alternatives. Wie es aussieht, hast du Tomcat installiert mit dem Debian-Paket, so dass eine tomcat oder tomcat6 Benutzer wurde wohl erstellt. Es gibt eine /etc/init.d/tomcat6 Skript, sollten Sie start/stop Tomcat unter diesem Benutzer für Sie. /usr/share/doc/tomcat6/README.Debian.gz sicherlich haben weitere Informationen über diese.
    • Über das server-Zertifikat, da es selbst signiert ist, müssen Sie den import manuell auf die Browser Ihre mithilfe: entweder fügen Sie eine Ausnahme mit der hand (Sie können es überprüfen, entspricht der .crt Sie haben ausgestellt: Sie können mithilfe openssl x509 -text -noout -in server.crt zum Beispiel), oder importieren Sie die server.crt - Datei in Ihrem browser direkt.
    • Kommentar: Super, läuft sehr smooth 🙂 @zweite Bemerkung: ich habe die lokale ip als CN im Zertifikat, aber ich bekomme immer noch einen ssl Fehler in meinem browser nach dem Import. Ich bin immer verwirrt mit den verschiedenen Zertifikat-Typen... ist das erstellte Zertifikat genug, um in dieser Weise?
    • Mithilfe der host-name ist besser. Sie müssen die CN entsprechend der host-Teil der URL, mit der Sie reden. Ein selbstsigniertes Zertifikat ist gut, wenn es für die eingeschränkte Verwendung (d.h. Sie kennen den Browsern, wo würden Sie gehen, um es zu importieren). Im schlimmsten Fall, überprüfen Sie den Inhalt des Zertifikats ist der brower ' s Alarm-Meldung und "pin" mit einer dauerhaften Ausnahme, wenn Sie zufrieden sind es die, die Sie erstellt in der Tat (Firefox erlaubt es Ihnen, das zu tun, zum Beispiel).
    • Schön, jetzt funktioniert es 🙂 Wie gesagt ich fange eine Prämie für Sie
    • lassen Sie uns weiter, diese Diskussion im chat

    InformationsquelleAutor Bruno
  2. 1

    Als Bruno sagte, benutzte ich die "falsche" keytool!

    Gibt es diejenigen, keytools auf meinem Debian 6 installation

    root@host:~# locate keytool
/etc/alternatives/keytool
/etc/alternatives/keytool.1.gz
/root/glassfish3/jdk/bin/keytool
/root/glassfish3/jdk/jre/bin/keytool
/root/glassfish3/jdk/man/ja_JP.eucJP/man1/keytool.1
/root/glassfish3/jdk/man/man1/keytool.1
/root/glassfish3/mq/bin/imqkeytool
/root/glassfish3/mq/bin/imqkeytool.exe
/usr/bin/gkeytool
/usr/bin/gkeytool-4.4
/usr/bin/keytool
/usr/bin/jre1.6.0_25/bin/keytool
/usr/bin/jre1.6.0_25/man/ja_JP.eucJP/man1/keytool.1
/usr/bin/jre1.6.0_25/man/man1/keytool.1
/usr/lib/jvm/java-1.5.0-gcj-4.4/bin/keytool
/usr/lib/jvm/java-1.5.0-gcj-4.4/jre/bin/keytool
/usr/lib/jvm/java-1.5.0-gcj-4.4/man/man1/keytool.1.gz
/usr/lib/jvm/java-6-sun-1.6.0.24/bin/keytool
/usr/lib/jvm/java-6-sun-1.6.0.24/jre/bin/keytool
/usr/lib/jvm/java-6-sun-1.6.0.24/jre/man/ja/man1/keytool.1.gz
/usr/lib/jvm/java-6-sun-1.6.0.24/jre/man/man1/keytool.1.gz
/usr/lib/jvm/java-6-sun-1.6.0.24/man/ja/man1/keytool.1.gz
/usr/lib/jvm/java-6-sun-1.6.0.24/man/man1/keytool.1.gz
/usr/share/man/man1/gkeytool-4.4.1.gz
/usr/share/man/man1/gkeytool.1.gz
/usr/share/man/man1/keytool.1.gz
/var/lib/dpkg/alternatives/keytool
root@host:~# echo $JAVA_HOME
/usr

    Nun nutzte ich

    /usr/lib/jvm/java-6-sun-1.6.0.24/bin/keytool -genkey -v -keyalg RSA -alias tomcat
-keypass changeit -storepass changeit

    Erstellen der keystore - Datei. Tomcat startet ohne Probleme!

    InformationsquelleAutor strauberry
  3. 0

    Versuchen Sie, Ihre Speichertyp: -storetype JKS (siehe: http://download.oracle.com/javase/6/docs/technotes/tools/solaris/keytool.html)

    • Wenn ich "-storetype JKS" bekomme ich die Meldung "Provider voll Qualifizierter Klassenname: ". Die Klassennamen habe ich zu bieten? Der eine von JKS?
    InformationsquelleAutor Rob Parker
  4. 0

    Wenn Sie die GNU-jvm und keytool, können Sie die folgenden Optionen, um den Tomcat-connector in server.xml, um get it to work: keystoreType="gkr" algorithm="JessieX509"

    Der Algorithmus wird erwähnt, dass die hier

    InformationsquelleAutor Atv
Schreibe einen Kommentar