StartSSL class-1-Zertifikat nicht akzeptiert, die durch browser (Weblogic 10.0.1)
Ich habe darum gebeten, einen class-1-Zertifikat von StartSSL installiert und es in Weblogic 10.0.1 (siehe screenshots).
Den Browsern (Chrome & IE9 auf Windows 7, IE8 auf XPSP3) immer noch ein Zertifikat Fehler (siehe screenshots).
Ich denke, die StartSSL root-Zertifikat ist in vielen Browsern (siehe hier). Bitte beraten.
Du musst angemeldet sein, um einen Kommentar abzugeben.
StartSSL Class-1-Zertifikaten signiert sind, die von einer Zwischenzertifizierungsstelle, die signiert ist durch das StartCom Root CA. Für Ihren browser, um diesem Zertifikat zu Vertrauen, die es braucht, wissen die trust-chain bis zur Root-CA, weiß es schon.
Dein server senden muss, um die komplette Vertrauenskette auf den browser (abzüglich der Root-CA), so dass Ihr browser können Sie überprüfen, ob Ihr Zertifikat vertrauenswürdig ist.
Sehen die StartSSL FAQ für mehr info.
Das problem gefunden. Ich habe importiert, die StartSSL-Zertifikat nicht korrekt in unseren keystore. Außerdem habe ich angegeben "weblogic" als alias in der Weblogic-Konsole, die ist nicht das Zertifikat, sondern die public - /private key pair. Ich bin mit Portecle zu Bearbeiten keystore.
Als ich bemerkt habe, dass ich wohl mit den falschen alias habe ich geändert, um den Aliasnamen des Zertifikats. Dies führte zu einem Weblogic-Fehler:
In das Ende ich habe diese Schritte befolgt zu packen, um das Zertifikat und den privaten Schlüssel in einer PKCS#12-keystore. Ich habe dann importiert, dass keystore in unsere java-keystore Portecle:
Extrahieren des privaten Schlüssels aus diesem keystore mit openssl:
openssl pkcs12 -in weblogic.p12 -nocerts -out privatekey.pem -
Paket das Zertifikat und den privaten Schlüssel als PKCS#12 keystore (
cert.p12
) mit openssl:openssl pkcs12-export -in cert.cer -inkey privatekey.pem -out cert.p12 -name-cert -CAfile ca.pem -caname root
Import
cert.p12
- Datei in unserem java-keystore Portecle Verwendung von "cert" als alias.Änderte sich die Weblogic-Konfiguration verwenden Sie das "cert" - alias mit der richtigen passphrase.
- Und es funktionierte!
PS: ich habe die JCE unlimited strength policy auf dem Weg, da Portecle beschwerte sich über diese an einer Stelle.
Allgemein die trust store-und keystore-wären getrennte, aber es wird nicht dazu führen, die oben genannten Fehler.
Wenn Ihr browser nicht der ZERTIFIZIERUNGSSTELLE Vertrauen, die dann Sie erhalten den oben genannten Fehler. Müssen Sie der root-CA in Ihrem browser. Sie können überprüfen, dass die certs, die Ihr browser unterstützt.
ZB für IE -> Tools -> Internetoptionen -> Inhalt -> Zertifikate -> Trusted Root CA
Vorausgesetzt, Sie müssen importieren Sie diese in ein oder zwei Browsern, ist das keine große Sache. Aber wenn Sie benötigen, um dies zu tun, im gesamten Unternehmen (d.h. 100 oder 1000-Browser), müssen Sie die Hilfe von Ihrem desktop-support-team !