Имеется jboss + успешно включенный https-коннектор на нем.
При в ключении в коннектор опции clientAuth="true", вроде как и положено у клиента сервер начинает требовать сертификат.

Сертификаты и ключи делал так (openssl):
корневой сертификат:
/bla/bla/CA.pl -newca

личный ключ и сертификационный запрос сервера
/bla/bla/CA.pl -newreq

подписал своим корневым сертификатом:
/bla/bla/CA.pl -sign

полученные файлы обозвал так:
cp newreq.pem server.key
cp newcert.pem server.crt

переделал в x509:
openssl x509 -in server.crt -outform DER -out server.der

добавил в хранилище keytool:
keytool -import -file /path/to/server.der -alias foo_06-08-2 -keystore /path/to/domainname.kdb

Сертификат (файл cacert.pem, полученный при изготовлении корневого сертификата) симпортировал в Trusted Root Certification Authorities в ИЕ (и в Mozille пробовал тоже)

Когда пробую https://localhost:8443 в IE появляется окно Client Authentification с пустым списком (типа выберите какой сертификат использовать).

И все...

Люди добрые, наставьте на путь истинный, плз, - как сделать тестовые работающие сертификаты ?

• памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,Xela, 11:45 , 08-Июн-04
  • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 13:17 , 08-Июн-04
    • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,Xela, 13:28 , 08-Июн-04
      • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 13:41 , 08-Июн-04
        • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 15:18 , 08-Июн-04
          • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,Xela, 15:28 , 08-Июн-04
            • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 15:41 , 08-Июн-04
              • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 09:20 , 09-Июн-04
                • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,Xela, 10:33 , 09-Июн-04
                  • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 10:59 , 09-Июн-04
                    • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 09:04 , 10-Июн-04
                      • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 13:34 , 10-Июн-04
                        • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,Xela, 13:48 , 10-Июн-04
                          • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,igor_s, 23:34 , 10-Июн-04
                            • памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt...,Ярослав, 20:25 , 10-Авг-04

Так он у тебя клиентский сертификат требует!
Собствено создать сертификат клиента, испортировать его в pkcs12 и скормить IE

>Так он у тебя клиентский сертификат требует!
>Собствено создать сертификат клиента, испортировать его в pkcs12 и скормить IE

Ага, только что сиё проделал. В Мозиллу скармливается этот p12. (Но сервером отбрасывается все равно) А мастер импорта в ИЕ говорит "введены неправильные данные".
Экспортный вариант ИЕ косячит ?

>Экспортный вариант ИЕ косячит ?

Не знаю. Я настраивал авторизации по клиентским сертификатам на Апаче.
Все было хорошо в ИЕ 6. На других не проверял

>>Экспортный вариант ИЕ косячит ?
>
>Не знаю. Я настраивал авторизации по клиентским сертификатам на Апаче.
>Все было хорошо в ИЕ 6. На других не проверял

Я использую ИЕ6, но под линуксом.
Может он одуревает от этого....

---

При юзании Мозиллы в логах tomcat-а остается запись null cert chains

На виндоузе, в ИЕ5 "персональный сертификат" и "корневой сертификат сервера" поставились без проблем.
Теперь бокс с выбором "какой сертификат подавать" не вознивает.
Но не пускает на сервер.
Отображается стандартная ИЕшная страница о "проблемах на узле, или с настройками браузера".

Какие сертификаты должны быть доступны в keystore кроме server.crt ?

>Какие сертификаты должны быть доступны в keystore кроме server.crt ?

Я так думаю, что еще сертификат того, кто подписал клиентский сертификат.

сейчас в логах:

No available certificate corresponds to the SSL cipher suites which are enabled

в keystore щас кроме server.crt положил еще cacert.pem

$ keytool -list -keystore /path/to/ecctst2.keystore

Keystore type: jks
Keystore provider: SUN

Your keystore contains 2 entries

cacert, Jun 8, 2004, trustedCertEntry,
Certificate fingerprint (MD5): AE:4F:8A:A4:29:89:2B:63:DE:FC:38:E6:39:3E:79:EE
appserv, Jun 8, 2004, trustedCertEntry,
Certificate fingerprint (MD5): 0B:F8:CD:EE:99:BC:70:FB:3E:23:62:F6:D8:F0:D0:BB

Попробовал сгенерить ключи (и для сервера и для клиента) в самом keytool, экспортировал их, подписал в openssl-ной приблуде как и в первом случае.

Симпортировал серверный подписанный сертификат обратно в keytool, получил в keytool 2 записи - одна keyEntry (которая появилась при генерации ключа) и trustedCertEntry которая появилась при импорте подписанного сертификата.

"Клиентскую" keyEntry я удалил из keystore после экспорта.
Скормил корневой сертификат (из openssl-я) и подписанный им клиентский сертификат в ИЕ.
Снова появился мессаджбокс с пустым списком.
Чуйствую я на второй круг пошел.

>Снова появился мессаджбокс с пустым списком.

Если список пустой значит не установлен клиентский сертификат.
Клиентские сертификаты устновливаются в IE только из pkcs12.
Для проверки: Сервис -> Свойства Оборзевателя -> Содержиние -> Сертификаты -> Личные.

>>Снова появился мессаджбокс с пустым списком.
>
>Если список пустой значит не установлен клиентский сертификат.
>Клиентские сертификаты устновливаются в IE только из pkcs12.
>Для проверки: Сервис -> Свойства Оборзевателя -> Содержиние -> Сертификаты -> Личные.

есть там моя запись (персональный сертификат клиента) в "Личных".
кстати, после того как тоже самое проделал при помощи keystore - корневой сертификат при импорте в ИЕ попадает не в "Trusted root..." а в "Other People" закладку... или как там оно зовется - точно не помню уже.

Переделал все заново, перечитав разные доки.
Подробно тут: http://ivsn.web.ur.ru/Edit1.not_ended2.txt

Почему то список предлагаемых для выбора сертификатов пуст в предлагаемом  ИЕ окошке "проверка подлинности клиента", когда он конектится.

В закладке "Личные" - личный сертификат есть.
По каком принципу ИЕ отбирает что туда показывать то ?

Таки победиль злобную джябу :-)
Добавление своего CA в джявовое хранилище доверенных сертификатов cacerts спасло jboss от безжалстного истребления.

Дык, я ж тебе об этом говорил, цитата:

>>Какие сертификаты должны быть доступны в keystore кроме server.crt ?
>Я так думаю, что еще сертификат того, кто подписал клиентский сертификат.

>Дык, я ж тебе об этом говорил, цитата:
>
>>>Какие сертификаты должны быть доступны в keystore кроме server.crt ?
>>Я так думаю, что еще сертификат того, кто подписал клиентский сертификат.

Дак в том то и дело что не в keystore он должен быть :-)
А в cacerts !!!
В keystore то он был как и завещал великий ленин в мануале.
Его оттуда теперь, думаю, можно стереть вообще (CA).

>Дак в том то и дело что не в keystore он должен
>быть :-)
>А в cacerts !!!
Можно уточнить: он должен быть в cacerts, доступном Tomcat ?
А на клиентской машине ставится только клиентский сертификат pkcs12  и все ?