StartSSL class-1-Zertifikat nicht akzeptiert, die durch browser (Weblogic 10.0.1)

Ich habe darum gebeten, einen class-1-Zertifikat von StartSSL installiert und es in Weblogic 10.0.1 (siehe screenshots).

StartSSL class-1-Zertifikat nicht akzeptiert, die durch browser (Weblogic 10.0.1)
StartSSL class-1-Zertifikat nicht akzeptiert, die durch browser (Weblogic 10.0.1)

Den Browsern (Chrome & IE9 auf Windows 7, IE8 auf XPSP3) immer noch ein Zertifikat Fehler (siehe screenshots).

StartSSL class-1-Zertifikat nicht akzeptiert, die durch browser (Weblogic 10.0.1)
StartSSL class-1-Zertifikat nicht akzeptiert, die durch browser (Weblogic 10.0.1)

Ich denke, die StartSSL root-Zertifikat ist in vielen Browsern (siehe hier). Bitte beraten.

InformationsquelleAutor Steven Devijver | 2012-06-04
  1. 26

    StartSSL Class-1-Zertifikaten signiert sind, die von einer Zwischenzertifizierungsstelle, die signiert ist durch das StartCom Root CA. Für Ihren browser, um diesem Zertifikat zu Vertrauen, die es braucht, wissen die trust-chain bis zur Root-CA, weiß es schon.

    Dein server senden muss, um die komplette Vertrauenskette auf den browser (abzüglich der Root-CA), so dass Ihr browser können Sie überprüfen, ob Ihr Zertifikat vertrauenswürdig ist.

    Sehen die StartSSL FAQ für mehr info.

    InformationsquelleAutor TobiX
  2. 2

    Das problem gefunden. Ich habe importiert, die StartSSL-Zertifikat nicht korrekt in unseren keystore. Außerdem habe ich angegeben "weblogic" als alias in der Weblogic-Konsole, die ist nicht das Zertifikat, sondern die public - /private key pair. Ich bin mit Portecle zu Bearbeiten keystore.

    Als ich bemerkt habe, dass ich wohl mit den falschen alias habe ich geändert, um den Aliasnamen des Zertifikats. Dies führte zu einem Weblogic-Fehler:

    Inconsistent security configuration, weblogic.management.configuration.ConfigurationException: No identity key/certificate entry was found under alias startssl-hostname in keystore keystore_StartSSL on server servername

    In das Ende ich habe diese Schritte befolgt zu packen, um das Zertifikat und den privaten Schlüssel in einer PKCS#12-keystore. Ich habe dann importiert, dass keystore in unsere java-keystore Portecle:

    1. Exportieren Sie die "weblogic" public/private key mit Portecle als PKCS#12-keystore.

    2. Extrahieren des privaten Schlüssels aus diesem keystore mit openssl:

      openssl pkcs12 -in weblogic.p12 -nocerts -out privatekey.pem -

    3. Paket das Zertifikat und den privaten Schlüssel als PKCS#12 keystore (cert.p12) mit openssl:

      openssl pkcs12-export -in cert.cer -inkey privatekey.pem -out cert.p12 -name-cert -CAfile ca.pem -caname root

    4. Import cert.p12 - Datei in unserem java-keystore Portecle Verwendung von "cert" als alias.

    5. Änderte sich die Weblogic-Konfiguration verwenden Sie das "cert" - alias mit der richtigen passphrase.

    - Und es funktionierte!

    PS: ich habe die JCE unlimited strength policy auf dem Weg, da Portecle beschwerte sich über diese an einer Stelle.

    InformationsquelleAutor Steven Devijver
  3. -1

    Allgemein die trust store-und keystore-wären getrennte, aber es wird nicht dazu führen, die oben genannten Fehler.

    Wenn Ihr browser nicht der ZERTIFIZIERUNGSSTELLE Vertrauen, die dann Sie erhalten den oben genannten Fehler. Müssen Sie der root-CA in Ihrem browser. Sie können überprüfen, dass die certs, die Ihr browser unterstützt.
    ZB für IE -> Tools -> Internetoptionen -> Inhalt -> Zertifikate -> Trusted Root CA

    Vorausgesetzt, Sie müssen importieren Sie diese in ein oder zwei Browsern, ist das keine große Sache. Aber wenn Sie benötigen, um dies zu tun, im gesamten Unternehmen (d.h. 100 oder 1000-Browser), müssen Sie die Hilfe von Ihrem desktop-support-team !

    • Der Benutzer sollte nie müssen Sie manuell fügen Sie ein Zertifikat an den browser.
    • "nie", wirklich ? Was ist, wenn Sie verwenden eine interne PKI-system ? Viele Unternehmen verwenden eine interne PKI-system.
    InformationsquelleAutor souser
Schreibe einen Kommentar