форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
Сообщение от igor_s (ok) on 08-Июн-04, 02:54  (MSK)
Имеется jboss + успешно включенный https-коннектор на нем. При в ключении в коннектор опции clientAuth="true", вроде как и положено у клиента сервер начинает требовать сертификат. Сертификаты и ключи делал так (openssl): корневой сертификат: /bla/bla/CA.pl -newca личный ключ и сертификационный запрос сервера /bla/bla/CA.pl -newreq подписал своим корневым сертификатом: /bla/bla/CA.pl -sign полученные файлы обозвал так: cp newreq.pem server.key cp newcert.pem server.crt переделал в x509: openssl x509 -in server.crt -outform DER -out server.der добавил в хранилище keytool: keytool -import -file /path/to/server.der -alias foo_06-08-2 -keystore /path/to/domainname.kdb Сертификат (файл cacert.pem, полученный при изготовлении корневого сертификата) симпортировал в Trusted Root Certification Authorities в ИЕ (и в Mozille пробовал тоже) Когда пробую https://localhost:8443 в IE появляется окно Client Authentification с пустым списком (типа выберите какой сертификат использовать). И все... Люди добрые, наставьте на путь истинный, плз, - как сделать тестовые работающие сертификаты ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
Сообщение от Xela (ok) on 08-Июн-04, 11:45  (MSK)
Так он у тебя клиентский сертификат требует! Собствено создать сертификат клиента, испортировать его в pkcs12 и скормить IE
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 08-Июн-04, 13:17  (MSK)
	>Так он у тебя клиентский сертификат требует! >Собствено создать сертификат клиента, испортировать его в pkcs12 и скормить IE Ага, только что сиё проделал. В Мозиллу скармливается этот p12. (Но сервером отбрасывается все равно) А мастер импорта в ИЕ говорит "введены неправильные данные". Экспортный вариант ИЕ косячит ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от Xela (ok) on 08-Июн-04, 13:28  (MSK)
	>Экспортный вариант ИЕ косячит ? Не знаю. Я настраивал авторизации по клиентским сертификатам на Апаче. Все было хорошо в ИЕ 6. На других не проверял
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 08-Июн-04, 13:41  (MSK)
	>>Экспортный вариант ИЕ косячит ? > >Не знаю. Я настраивал авторизации по клиентским сертификатам на Апаче. >Все было хорошо в ИЕ 6. На других не проверял Я использую ИЕ6, но под линуксом. Может он одуревает от этого.... --- При юзании Мозиллы в логах tomcat-а остается запись null cert chains
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 08-Июн-04, 15:18  (MSK)
	На виндоузе, в ИЕ5 "персональный сертификат" и "корневой сертификат сервера" поставились без проблем. Теперь бокс с выбором "какой сертификат подавать" не вознивает. Но не пускает на сервер. Отображается стандартная ИЕшная страница о "проблемах на узле, или с настройками браузера". Какие сертификаты должны быть доступны в keystore кроме server.crt ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от Xela (ok) on 08-Июн-04, 15:28  (MSK)
	>Какие сертификаты должны быть доступны в keystore кроме server.crt ? Я так думаю, что еще сертификат того, кто подписал клиентский сертификат.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 08-Июн-04, 15:41  (MSK)
	сейчас в логах: No available certificate corresponds to the SSL cipher suites which are enabled в keystore щас кроме server.crt положил еще cacert.pem $ keytool -list -keystore /path/to/ecctst2.keystore Keystore type: jks Keystore provider: SUN Your keystore contains 2 entries cacert, Jun 8, 2004, trustedCertEntry, Certificate fingerprint (MD5): AE:4F:8A:A4:29:89:2B:63:DE:FC:38:E6:39:3E:79:EE appserv, Jun 8, 2004, trustedCertEntry, Certificate fingerprint (MD5): 0B:F8:CD:EE:99:BC:70:FB:3E:23:62:F6:D8:F0:D0:BB
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 09-Июн-04, 09:20  (MSK)
	Попробовал сгенерить ключи (и для сервера и для клиента) в самом keytool, экспортировал их, подписал в openssl-ной приблуде как и в первом случае. Симпортировал серверный подписанный сертификат обратно в keytool, получил в keytool 2 записи - одна keyEntry (которая появилась при генерации ключа) и trustedCertEntry которая появилась при импорте подписанного сертификата. "Клиентскую" keyEntry я удалил из keystore после экспорта. Скормил корневой сертификат (из openssl-я) и подписанный им клиентский сертификат в ИЕ. Снова появился мессаджбокс с пустым списком. Чуйствую я на второй круг пошел.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от Xela (ok) on 09-Июн-04, 10:33  (MSK)
	>Снова появился мессаджбокс с пустым списком. Если список пустой значит не установлен клиентский сертификат. Клиентские сертификаты устновливаются в IE только из pkcs12. Для проверки: Сервис -> Свойства Оборзевателя -> Содержиние -> Сертификаты -> Личные.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 09-Июн-04, 10:59  (MSK)
	>>Снова появился мессаджбокс с пустым списком. > >Если список пустой значит не установлен клиентский сертификат. >Клиентские сертификаты устновливаются в IE только из pkcs12. >Для проверки: Сервис -> Свойства Оборзевателя -> Содержиние -> Сертификаты -> Личные. есть там моя запись (персональный сертификат клиента) в "Личных". кстати, после того как тоже самое проделал при помощи keystore - корневой сертификат при импорте в ИЕ попадает не в "Trusted root..." а в "Other People" закладку... или как там оно зовется - точно не помню уже.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 10-Июн-04, 09:04  (MSK)
	Переделал все заново, перечитав разные доки. Подробно тут: http://ivsn.web.ur.ru/Edit1.not_ended2.txt Почему то список предлагаемых для выбора сертификатов пуст в предлагаемом  ИЕ окошке "проверка подлинности клиента", когда он конектится. В закладке "Личные" - личный сертификат есть. По каком принципу ИЕ отбирает что туда показывать то ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 10-Июн-04, 13:34  (MSK)
	Таки победиль злобную джябу :-) Добавление своего CA в джявовое хранилище доверенных сертификатов cacerts спасло jboss от безжалстного истребления.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от Xela (ok) on 10-Июн-04, 13:48  (MSK)
	Дык, я ж тебе об этом говорил, цитата: >>Какие сертификаты должны быть доступны в keystore кроме server.crt ? >Я так думаю, что еще сертификат того, кто подписал клиентский сертификат.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от igor_s (??) on 10-Июн-04, 23:34  (MSK)
	>Дык, я ж тебе об этом говорил, цитата: > >>>Какие сертификаты должны быть доступны в keystore кроме server.crt ? >>Я так думаю, что еще сертификат того, кто подписал клиентский сертификат. Дак в том то и дело что не в keystore он должен быть :-) А в cacerts !!! В keystore то он был как и завещал великий ленин в мануале. Его оттуда теперь, думаю, можно стереть вообще (CA).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "памагите с сертификатами крыша едет (jsse,tomcat,openssl,htt..."
	Сообщение от Ярослав (??) on 10-Авг-04, 20:25  (MSK)
	>Дак в том то и дело что не в keystore он должен >быть :-) >А в cacerts !!! Можно уточнить: он должен быть в cacerts, доступном Tomcat ? А на клиентской машине ставится только клиентский сертификат pkcs12  и все ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.