ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Java [игнор отключен] [закрыт для гостей] / Загрузка сертификата в keystore
16 сообщений из 16, страница 1 из 1
Загрузка сертификата в keystore
    #39470162
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
Есть java-приложение, работа с которым осуществляется через веб-интерфейс.
Веб-интерфейс работает через HTTPS, используется самоподписанный сертификат.
В приложении есть утилита для импорта сертификата:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
java -jar lib/ace.jar 
Usage: java -jar lib/ace.jar <commands> [...]
    start  : start the UniFi controller
    stop   : stop the UniFi controller
    info   : display some information
    installsvc/startsvc/uninstallsvc/stopsvc : install/start/stop as a Windows service
    new_cert <hostname> <company> <city> <state> <country> : create new certificate (with csr)
    import_cert <signed_cert> [<other_intermediate_root_certs>...] : import the signed certificate and ca cert
Подготовил PEM-файл и сертификат CA, запустил эту утилиту, утилита распознала сертификаты и цепочки доверия, успешно импортировала сертификат.
Но теперь я вообще не могу зайти в веб-интерфейс, браузер IE вообще не подключается, Chrome выдает ошибку:
Этот сайт не может обеспечить безопасное соединение

Сайт ... отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR


Файл keystore обновился, в нем я вижу данные нового сертификата.
Как понять, что именно не работает?
...
Рейтинг: 0 / 0
11.06.2017, 09:47
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470167
Фотография Usman
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Usman
Участник
Alibek B.браузер IE вообще не подключается, Chrome выдает ошибкуа FF должен был сказать " Уходим отсюда ! " (:

см. Configuring a browser to work with self-signed certificates
...
Рейтинг: 0 / 0
11.06.2017, 10:07
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470168
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
Самоподписанный CA добавлен в доверенные центры авторизации.
Так что устанавливаемый сертификат вполне валидный и Apache с ним работает нормально.
Дело не в самом сертификате, а в том, как он загружен в keystore.
...
Рейтинг: 0 / 0
11.06.2017, 10:24
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470171
Фотография Usman
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Usman
Участник
Alibek B.Самоподписанный CA добавлен в доверенные центры авторизации.на клиентской машине?
...
Рейтинг: 0 / 0
11.06.2017, 10:33
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470175
Фотография Usman
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Usman
Участник
Alibek B.Дело не в самом сертификате, а в том, как он загружен в keystore How to Fix Google Chrome Error – ERR_SSL_PROTOCOL_ERROR
...
Рейтинг: 0 / 0
11.06.2017, 10:47
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470176
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
CA и подписанные им сертификаты я использую давно, они работают.
Мне нужно этот сертификат загрузить в keystore.
keytool показывает, что сертификаты загружены:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
keytool -list -keystore /srv/unifi/data/keystore 

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 2 entries

cert1, Jun 11, 2017, trustedCertEntry, 
Certificate fingerprint (SHA1): 7F:45:AB:B5:21:62:A3:5D:17:AF:C6:97:BE:96:D2:3E:56:B0:6C:1B
unifi, Jun 11, 2017, PrivateKeyEntry, 
Certificate fingerprint (SHA1): E5:D3:0F:C8:DC:33:B5:E5:6C:F5:57:2B:6A:5A:B3:85:A6:5D:F8:3B
cert1 это CA, unifi это загружаемый сертификат.
Вроде бы все правильно, но в браузере не работает вообще.
...
Рейтинг: 0 / 0
11.06.2017, 10:52
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470177
Фотография Usman
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Usman
Участник
Alibek B.,

Пытаюсь понять взаимосвязь JKS и браузера... У вас используются апплеты?
...
Рейтинг: 0 / 0
11.06.2017, 11:24
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470188
вадя
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
вадя
Участник
Alibek B.,

это фишка в последних версиях браузеров,
необходимо чтоб в сертификате было поле subjectAltName.
keytool этоне может (пока надеюсь)
вот алгоритм как это сделать
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
 https://gist.github.com/bendem/7548d3dd2b2869e2d4ef 

с помощью 
 http://sourceforge.net/projects/xca 

создаем закрытый ключ
создаём запрос на сертификат
подписывем
экспортируем в PKCS12
импортируем
C:\JavaJDK\jre\bin\keytool -importkeystore -deststorepass 1qaz1qaz -destkeypass 1qaz1qaz -srcstoretype PKCS12 -destkeystore mo.jks -srckeystore mobb.p12   -srcstorepass 1qaz1qaz -alias mo.bb
...
Рейтинг: 0 / 0
11.06.2017, 12:06
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470194
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
Не знаю, что это означает.
На клиентской стороне JVM не используется.

Похожая проблема описана тут , ее решили через генерацию keystore с помощью keytool и копирования полученного файла в каталог приложения.
В принципе я могу сделать так же, но не хотелось бы глубоко погружаться в специфику java.
Возможно что мне просто нужно подготовить сертификат в определенном формате, чтобы он загрузился нормально.
...
Рейтинг: 0 / 0
11.06.2017, 12:20
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470195
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
вадянеобходимо чтоб в сертификате было поле subjectAltName.
Собственно в моем сертификате имя хоста в этом поле и указано, в CN указано текстовое описание с пробелами.
...
Рейтинг: 0 / 0
11.06.2017, 12:21
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470197
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
вадяэкспортируем в PKCS12
импортируем
C:\JavaJDK\jre\bin\keytool -importkeystore -deststorepass 1qaz1qaz -destkeypass 1qaz1qaz -srcstoretype PKCS12 -destkeystore mo.jks -srckeystore mobb.p12 -srcstorepass 1qaz1qaz -alias mo.bb
Общая схема понятна.
А как мне получить файл keystore, чтобы скопировать его в каталог приложения?
...
Рейтинг: 0 / 0
11.06.2017, 12:23
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470201
Фотография Usman
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Usman
Участник
Alibek B.,

Installing a Custom SSL Certificate on a Linux Unifi Controller
...
Рейтинг: 0 / 0
11.06.2017, 12:28
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470207
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
Вот эта команда генерирует рабочий keystore с правильным сертификатом:
Код: plaintext
keytool -importkeystore -srcstoretype pkcs12 -srcalias hotspot -srckeystore unifi.pfx -keystore keystore -destalias unifi
где unifi.pfx — это заранее экспортированный ключ с сертификатом в формате PKCS#12.

Но тут слишком явные костыли — экспортировать PKCS#12, не напутать с именами альясов src и dest, не забыть указать правильный пароль, который прошит в java-приложении.
Хотелось бы использовать штатные утилиты.
Не подскажите, что может быть не так?
Если сравнить keystore с помощью keytool -list, то в рабочем keystore один сертификат, а в нерабочем (который формируется штатной утилитой) два.
...
Рейтинг: 0 / 0
11.06.2017, 12:48
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39470210
Фотография Usman
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Usman
Участник
Alibek B.,

https://community.ubnt.com/t5/UniFi-Feature-Requests/Install-Custom-SSL-on-Linux-Windows-Unifi/idc-p/1251525
...
Рейтинг: 0 / 0
11.06.2017, 12:58
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39471082
shaden
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
shaden
Гость
Еще как предположение: перестаньте использовать sha-1
Читайте .
...
Рейтинг: 0 / 0
13.06.2017, 17:26
| Ответить | Цитировать | Написать  
Загрузка сертификата в keystore
    #39471120
Alibek B
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alibek B
Участник
Не думаю, что SHA-1 как-то влияет, это только отпечаток.
В хроме для моего сертификата показывается зеленый значок без каких-либо предупреждений.
...
Рейтинг: 0 / 0
13.06.2017, 18:46
| Ответить | Цитировать | Написать  
16 сообщений из 16, страница 1 из 1
Форумы / Java [игнор отключен] [закрыт для гостей] / Загрузка сертификата в keystore
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=59&msg=39470195&tid=2122847]:
 0ms
get settings:
 8ms
get forum list:
 15ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 68ms
get topic data:
 10ms
get forum data:
 2ms
get page messages:
 57ms
get tp. blocked users:
 1ms
others: 205ms
total:  372ms
созд. / загр.: 372ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]