Keytool Zertifikatfehler IE8

Hippo

Mitglied
Hallo,
ich habe mir mit Keytool einen Key generiert, den ich zum öffnen einer Webseite mit SSL verwenden möchte. Den Aufruf habe ich wie folget getätigt:
keytool.exe -genkey -alias tomcat –keyalg RSA -keystore PfadZumKey\.zertifikat
Als Vor- und Nachnahme habe ich den FQDN des Servers angegeben.
Keytool generiert mir auch das Zertifikat ohne Fehlermeldung und die Webseite kann ich mit https// öffnen. Leider bringt mir der IE8 einen Zertifikatfehler, dass das Zertifikat ungültig ist. Ein Import des Zertifikats über den IE8 ist auch nicht möglich. Woran kann es liegen, dass ich einen Zertifikatsfehler bekomme?

Danke
 

nocturne

Bekanntes Mitglied
Hallo, du meinst "Mutual-Authentication"

so geht das leider nicht. Du erstellst ja eine art digitale Signatur(ein Personalausweis ist ein guter Vergleich aka Selbstsigniertes Zertifikat) für den Server. Der Client bekommt ein installierbares Zertifikat (die Kopie des Personalausweises ist ein guter Vergleich).
Mit dieser Digitalen Signatur wird die Kommunikation zum Server verschlüsselt, du hast also ein keyring(Zertifikatsammlung) ein Trustlist(im Browser) und ein für Tomcat/Jboss installierbares Zertifikat.

Was du aber willst ist ein Personalausweis für den Browser (Weitere 3 Dateien)! Dieser kann nur mit einer ANT-Datei erstellt werden.
Der Trick dabei: Wenn der Server einen Client erkennen soll, muss in die Trustlist des Servers das Installierbare Zertifikat des Clients installiert werden.

Wenn du ganz Cool bist gehst du zu startssl und besorgst dir ein Fremdsigniertes-Zertifikat

Hier die Ant-Datei (als Zip weiter unten, eine zip ist ein toter Link, einfach den anderen link nehmen):
SSLSetup - JBoss Community


Bei fragen einfach fragen.
 

FArt

Top Contributor
Hallo, du meinst "Mutual-Authentication"

so geht das leider nicht. Du erstellst ja eine art digitale Signatur(ein Personalausweis ist ein guter Vergleich aka Selbstsigniertes Zertifikat) für den Server. Der Client bekommt ein installierbares Zertifikat (die Kopie des Personalausweises ist ein guter Vergleich).
Mit dieser Digitalen Signatur wird die Kommunikation zum Server verschlüsselt, du hast also ein keyring(Zertifikatsammlung) ein Trustlist(im Browser) und ein für Tomcat/Jboss installierbares Zertifikat.

Was du aber willst ist ein Personalausweis für den Browser (Weitere 3 Dateien)! Dieser kann nur mit einer ANT-Datei erstellt werden.
Der Trick dabei: Wenn der Server einen Client erkennen soll, muss in die Trustlist des Servers das Installierbare Zertifikat des Clients installiert werden.

Wenn du ganz Cool bist gehst du zu startssl und besorgst dir ein Fremdsigniertes-Zertifikat

Hier die Ant-Datei (als Zip weiter unten, eine zip ist ein toter Link, einfach den anderen link nehmen):
SSLSetup - JBoss Community


Bei fragen einfach fragen.

Sorry, aber das ist so nicht ganz richtig.
Man benötigt kein ANT Skript und die Beschreibung ist sehr lückenhaft. Das Zertifikat muss nur im Browser installiert sein, wenn es selbstsigniert ist. Man brauch keine 3 Dateien. Es gibt dieses Zertifikat in verschiedenen Formaten und verschiedene Tools benötigen mal das eine oder andere Format, aber das hängt davon ab, was man wo erreichen möchte. Ob hier mutual authentication gemeint ist, ist sehr fraglich. Der Satz "zum öffnen einer Webseite mit SSL" hört sich nach reinem Serverzertifikat an.
 

Hippo

Mitglied
Hallo und Danke erst mal.
Es geht um ein reines Serverzertifikat.
Das mit dem importieren des Zertifikat habe ich schon probiert und funktioniert leider nicht.
Ich kann mir ja das Zertifikat im IE anzeigen lassen und es auch installieren. Leider ist es dem IE völlig egal und zeigt immer wieder den Zertifikatsfehler an. Ich habe auch schon versucht das Zertifikat in unterschiedliche Zertifikatspeicher zu importieren, leider ohne erfolg.
 

FArt

Top Contributor
Was ist das für ein Fehler? Unter Umständen macht der IE so nur darauf aufmerksam, dass das ein selbst signiertes Zertifikat ist...
 

Hippo

Mitglied
Ich habe den Fehler gefunden. :)
Ich habe das Zertifikat immer mit dem FQDN des Servers erstellt. Diese Zertifikat funktionierte nicht. Nun habe ich das Zertifikat auf den NetBIOS Namen des Servers ausgestellt und nun lässt sich das Zertifikat in den Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungstelle" importieren.

Kann ich eigentlich die Gültigkeit des Zertifikats beim erstellen anpassen?
 

Ähnliche Java Themen

Neue Themen


Oben