SSL-Zwischenzertifikat

Wir haben eine Menge ärger bekommen unsere SSL-Zertifikate richtig zu arbeiten.

Wir generiert haben unsere keystores (mit mehreren Quellen) aus einem bestehenden Schlüssel und das Zertifikat, indem Sie zunächst die Erstellung einer pkcs12-Datei, und exportieren es zu einem java-keystore.

Nun, Thawte erfordert die Installation 2 intermediate-ca-Dateien. Wenn ich prüfen unsere keystore, alle drei (die 2 Zwischenprodukte und unsere eigenen) sind vorhanden. Tomcat startet einwandfrei, aber auf dem Besuch der Website (und mit dem verisign ssl-checker), die zwei intermediate-Zertifikate werden nicht abgeholt.

Wenn jemand hat mehr Erfahrung mit der Installation von Zertifikaten von Thawte, würde jede Eingabe geschätzt werden. Wir haben die folgenden Dateien zur Verfügung. Leider haben wir nicht die original-keystore verwendet, um erstellen Sie die CSR, aber wir haben den privaten Schlüssel.

  1. CSR-Datei
  2. Privaten Schlüssel (.key-Datei)
  3. Unsere .crt-Datei
  4. Der primären und sekundären temporäre Dateien von Thawte (als separat und gebündelt .p7b-Dateien)

Auch wir sind der Verwendung von tomcat-7.0.27 ohne apache.

Dank!

InformationsquelleAutor Nico Huysamen | 2012-04-10
  1. 2

    Antwortete ich auf Ihre eine andere Frage, snippets-von dort aus sollte helfen, mit diesem problem zu.

    Einen VORBEHALT hinzufügen, um die vollständige Zertifikats-Kette zu PKCS#12-Schlüsselspeicher müssen Sie verketten alle zwischen PEM-Dateien wie dieses:

    cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem

    Und geben Sie -CAfile ca_chain.pem und geben Sie -caname mehrere Zeit - einmal für jedes cert in der Kette, in der Reihenfolge, wie Sie erschienen in ca_chain.pem Datei.

    DER zu PEM-Umrechnung nur für den Fall:

    openssl x509 -in cert.der -inform der -outform pem -out cert.pem
    InformationsquelleAutor alexkasko
  2. 1

    Einfach zu klären, da ich nicht sicher war, wie Sie sich mit es nach dem Lesen dieser Hinweise - ich habe alle Zertifikate und private key in PKCS12-keystore und dann konfiguriert Tomcat zu verwenden, dass die keystore-statt Standard-JKS. Es hat nicht für mich gearbeitet, mit JKS - keytool-Import war nur den privaten Schlüssel und meine Website-Zertifikat aus dem PKCS12-Datei, sondern ein intermediate Zertifikat fehlt.

    Befehl habe ich verwendet:

    openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt

    Und in server.xml die Datei habe ich Hinzugefügt,

    keystoreType="PKCS12"

    in connector-definition.

    Und jetzt habe ich Tomcat 7 mit Inhalte über https unter Verwendung der zuvor erzeugten Schlüssel, Zertifikat und Zwischenzertifikat. In meinem Fall war es nur ein intermediate-Zertifikat von RapidSSL.

    InformationsquelleAutor JXM
  3. 0

    Scheint die einzige Art, wie wir es richtig funktioniert war, durch Widerruf der alte Zertifikat und erneuern mit einem neuen CSR.

    InformationsquelleAutor Nico Huysamen
Schreibe einen Kommentar