Apache Tomcat SSL-Zertifikat aus Windows CA

[gnoovy 10]

Hi zusammen,

 

ist es möglich apache Tomcat mit SSL zu betreiben und dafür ein Zertifikat aus einer Active Directory integrierten Windows CA zu nehmen?

[zahni 554]

Ja, die Anleitung findest Du sicher bei Google.

[gnoovy 10]

leider nicht. Im Internet finde ich schon Anleitungen mit Zertifikaten von Open-SSL wo noch eine spezielle Datei mit generiert wird und ins User-Verzeichnis von Windows kopiert wird. Ich würde dies halt gerne über eine Windows CA verwalten.

[Dukel 454]

Dann musst du genauer suchen. Ich habe schon Anleitungen gefunden.

 

Leider nicht gebookmarkt, nachdem es bei mir funktioniert hatte.

[gnoovy 10]

okay aber diese komische .pem-datei oder so brauch ich nicht oder? Also ich bekomme das mit nem normalen Windows-Zertifikat von ner CA zum Laufen? Dann schaue ich mal ob ich das so hinbekomme.

[Dukel 454]

Du hast bei google z.B. nicht folgendes gefunden?

The Lazy Admin : More Windows CA for Apache

oder

Howto – Zertifikat unter Ubuntu erstellen und mit Windows CA zertifizieren « Constey's Blog

?

[Dukel 454]

Du hast bei google z.B. nicht folgendes gefunden?

The Lazy Admin : More Windows CA for Apache

oder

Howto – Zertifikat unter Ubuntu erstellen und mit Windows CA zertifizieren « Constey's Blog

?

[gnoovy 10]

nee :-( habe halt Suchbegriffe wie Tomcat Windows CA eingegeben...

[gnoovy 10]

hi zusammen,

 

habe mich in die Thematik begonnen einzuarbeiten und habe auf Basis der Webserver Vorlage eine neue Zertifikatvorlage erstellt. In den Sicherheitseinstellungen habe ich für authentifizierte Benutzer die Rechte "registrieren" und "automatisch registrieren" zugewiesen.

Allerdings wird nun unter "Eigene Zertifikate" das Zertifikat nicht ausgerollt. Die Gruppenrichtlinien für Benutzer, als auch für Computer sind aktiv und eingerichtet.

Manuell kann ich das Zertifikat einem Client zuweisen, aber er sollte das ja automatisch machen oder?

[zahni 554]

Wenn Du mal kurz beschreiben würdest, was Du erreichen willst...

[gnoovy 10]

also ich habe auf einem Windows7 Client den Apache Tomcat installiert. Dieser soll in Zukunft über https nur arbeiten. Dabei braucht er ja ein Zertifikat. Somit habe ich auf dem Windows-Zertifikatsserver die Zertifikatsvorlage Webserver über "doppelte Vorlage" kopiert und der Kopie den Namen "Apache Tomcat" gegeben.

Dieses Zertifikat soll auf dem Windows7-Client aufbereitet werden um es für den Tomcat nutzbar zu machen.

Somit habe ich unter Sicherheitseinstellungen der Zertifikatsvorlage den authentifizierten Benutzern das Recht "Registrieren", "lesen" und "automatisch Registrieren" gegeben.

Selbstverständlich auch die GPO-Richtlinien auf Domänenebene konfiguriert. Wenn ich allerdings im Windows7 Client im Punkt Computerzertifikate unter "eigene Zertifikate" schaue ist dort das Zertifikat nicht ersichtlich. Wenn ich dort auf "Zertifikat anfordern" klicke, könnte ich das "Apache Tomcat" Zertifikat einrichten, aber er soll das ja automatisch dort einfügen. Jetzt ist halt die Frage warum er das nicht macht...

[zahni 554]

Kurzfassung:

 

Du rollst die Deine RootCA via AD aus (machen die Zertifikatsdienste i.d.R. automatisch).

 

Dann installierst Du ein Webserver-Zertifikat inkl. Private Key im Tomcat. Dazu verwendest Du eine der Anleitungen zum Tomcat. Nach gefühl würde ich sagen, dass das Zertifikat im Keystore der Java-VM eingebunden werden muss...

[gnoovy 10]

genau die Zertifikate rolle ich via AD aus. Aber damit ich das Zertifikat in Tomcat einbinden kann muss es ja erstmal auf meinem Windows7-Client zur Verfügung stehen.

und mich wundert es halt, dass das Zertifikat nicht automatisch im Zertifikate-Snap-In des Clients unter "Eigene zertifkate" im Computer oder Benutzerbereich auftaucht.

Sobald es da auftaucht würde ich das Zertifikat gemäß Tomcat-Einleitung in Tomcat integrieren.

[Dukel 454]

hi zusammen,

 

[...]

Manuell kann ich das Zertifikat einem Client zuweisen, aber er sollte das ja automatisch machen oder?

 

Ich glaube nicht, dass Tomcat das automatisch kann sondern das wird manuell gemacht werden.

 

Und bei Tomcat steht im Manuell unter Apache Tomcat 6.0 - SSL Configuration HOW-TO

It is important to note that configuring Tomcat to take advantage of secure sockets is usually only necessary when running it as a stand-alone web server. When running Tomcat primarily as a Servlet/JSP container behind another web server, such as Apache or Microsoft IIS, it is usually necessary to configure the primary web server to handle the SSL connections from users.

 

Für ersteres (Apache mit Tomcat) gilt meine oben genannte Anleitung für letzteres gibts auf jetzt geposteter Seite ne Anleitung mit unter anderem:

Now you have a file called certreq.csr that you can submit to the Certificate Authority (look at the documentation of the Certificate Authority website on how to do this). In return you get a Certificate.

 

Das heißt für mich, dass das nicht automatisch geht.

[gnoovy 10]

he... ja im Tomcat geht das nicht automatisch, aber Tomcat läuft ja auf einer Windows7-Büchse und wenn ich ein Zertifikat von einer Windows-CA automatisch verteilen lasse, sollten die Zertifikate im Zertifikat-SnapIn des Windows-Clients doch auftauchen oder? Das hat ja erstmals mit Tomcat nichts zu tun :-)

Mein Problem besteht ja gerade noch darin das ich nicht weiß, wieso das Zertifikat meiner Windows-Zertifizierungsstelle nicht auf dem Windows7-Client ausgerollt wird :-)

Nicht das wir aneinander vorbei reden :-)