gnoovy 10 Geschrieben 4. Mai 2012 Melden Teilen Geschrieben 4. Mai 2012 hi leutz, für Apache Tomcat kann man ja über das jeweilige Java mittels Keytool Java Keystore Zertifikate erstellen. Dies will ich durchführen um Tomcat mittels SSL anzusteuern. Gibt es eine Möglichkeit diese Zertifikate über eine Windows CA zu legitimieren und danach das Zertifikat im Java Keytore zu importieren? Habe im Internet nicht wirklich passendes gefunden und komme da gerade nicht weiter. Wenn Ihr Lösungen oder Links zum selber Einarbeiten habt wäre ich euch sehr dankbar Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 4. Mai 2012 Melden Teilen Geschrieben 4. Mai 2012 Schau mal hier http://www.mcseboard.de/windows-server-forum-78/apache-tomcat-ssl-zertifikat-windows-ca-179309.html Das Thema gab es schon mal. da sind auch Links bei. Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 5. Mai 2012 Autor Melden Teilen Geschrieben 5. Mai 2012 naja nicht ganz :-( der erste Link geht nicht und der zweite behandelt Apache, nicht Tomcat. Auf diese Weise erzeugte Zertifikate kann ich leider nicht in Java einbinden :-( Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 12. Mai 2012 Autor Melden Teilen Geschrieben 12. Mai 2012 Hi leutz, habe es glaube ich hinbekommen. Folgende Konfigurations habe ich durchgeführt: Ist dies so korrekt? Aufruf https ist so möglich. 1) keytool -genkey -v -alias tomcat -keyalg RSA -keystore C:\.keystore -storepass test123!!!! -keypass test123!!!! -dname "CN=<Servername>, OU=-, O=-, L=-, S=-, C=-" -validity 1825 2) keytool -certreq -keyalg RSA -alias tomcat -keystore C:\.keystore -file C:\<Servername>.csr 3) Zertifikat anhand <servername>.csr über Windows CA http://<caname>/certsrv/ anfordern und Inhalt der CSR dort kopieren, Basiszertifikat Webserver und danach Speichern der Zertifikatskette *.p7b 4) keytool -import -alias tomcat -trustcacerts -file C:\<Zertifikatsname>.p7b -keystore C:\.keystore 5) Danach Freischaltung https-connector 8443 in server.xml von Tomcat und Tomcat-Neustart Aufruf mittels https://<servername>:8443 möglich. Es wird kein Zertifikatsfehler angezeigt Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 12. Mai 2012 Melden Teilen Geschrieben 12. Mai 2012 Schau dir das Zertifikat doch an. Über den Zertifikatspfad siehst du woher das Root Zertifikat kommt. Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 12. Mai 2012 Autor Melden Teilen Geschrieben 12. Mai 2012 hab ich gemacht. Über Internet Explorer kann ich ja neben der Adressleiste das Zertifikat mir anzeigen lassen. Das ist schon das von mir erzeugte und auch das Stammzertifikat meiner Windows CA wird in der Registerkarte Pfade auch angezeigt und dass das Zertifikat auch gültig ist. Aber ich meine auch so generell von der Vorgehensweise her ob es so richtig von mir gemacht wurde. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 13. Mai 2012 Melden Teilen Geschrieben 13. Mai 2012 Ja wenn das Zertifikat das richtige ist und von der Windows CA beglaubigt wurde wird deine Vorgehensweise ja nicht falsch sein. Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 14. Mai 2012 Autor Melden Teilen Geschrieben 14. Mai 2012 he sogesehen. Zwei Sachen würden mich noch interessieren: 1) mittels dname habe ich ja für CN den Servernamen angegeben unter dem mittels Zertifikat vertraut wird. Das klappt auch. Allerdings wenn ich https://localhost oder https://<ip-adresse> eingebe, erscheint ja somit weiterhin ein "Zertifikatfehler". Gibt es eine Möglichkeit auch über diese Adressen keinen "Zertifgikatsfehler" zu erhalten? Theoretisch für jede Adresse einen eigenen Keystore? 2) Wenn man ein Zertifikat direkt über das keytool von Java erzeugt und in einen keystore integriert, benötigt man dieses Zertifikat auch auf Clients. Bei meiner Methode über die CA reicht es aber das Zertifikat auf dem Tomcat-Server zu haben. Eines auf jedem Client ist da nicht notwendig. Ist das so ebenfalls korrekt? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 14. Mai 2012 Melden Teilen Geschrieben 14. Mai 2012 1) Du müsstest für den Fall in deinem Zertifikat localhost, die IP Adresse und ggf. den Hostnamen alleine eintragen. Einfach immer auf den FQDN gehen. 2) Dein Client muss dem Zertifikat vertrauen welches vom Tomcat angeboten wird. Ob direkt dem Zertifikat oder der CA ist daher unerheblich. Ist aber einfacher eine CA verwalten als einzelne Zertifikate zu verteilen. Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 14. Mai 2012 Autor Melden Teilen Geschrieben 14. Mai 2012 1) he... wie trage ich das in das Zertifikat ein? Ich kenne nur die Option mittels dname. Kann ich darüber mehrere Werte mitgeben? 2) Ah okay, da das Zertifikat ja als gültig angezeigt wird un im Zertifikatspfad das Root-Zertifikat übergeordnet ist passt das also :-) Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 14. Mai 2012 Melden Teilen Geschrieben 14. Mai 2012 1) Das willst du nicht. Vor allem nicht "localhost" und die IP Adresse. Aber wenn doch nennt sich das SAN-Zertifikat oder auch Wildcard Zertifikate. Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 16. Mai 2012 Autor Melden Teilen Geschrieben 16. Mai 2012 ah okay... aber wieso will ich das nicht? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.