StartSSL Klasse 1 Zertifikat wird vom Browser nicht akzeptiert (Weblogic 10.0.1)

7

Ich habe ein Zertifikat der Klasse 1 von StartSSL angefordert und es in Weblogic 10.0.1 installiert (siehe Screenshots).

Die Browser (Chrome & amp; IE9 unter Windows 7, IE8 auf XPSP3) geben immer noch einen Zertifikatfehler (siehe Screenshots).

Ich denke, das StartSSL-Root-Zertifikat ist in verschiedenen Browsern verfügbar (siehe hier ) . Bitte beraten.

    
Steven Devijver 04.06.2012, 09:50
quelle

3 Antworten

26

StartSSL Class 1-Zertifikate werden von einer Zwischenzertifizierungsstelle signiert, die von der StartCom-Stammzertifizierungsstelle signiert ist. Damit Ihr Browser diesem Zertifikat vertrauen kann, muss es die Vertrauenskette bis hin zur Stammzertifizierungsstelle kennen, die es bereits kennt.

Ihr Server muss die vollständige Vertrauenskette an den Browser senden (abzüglich der Stammzertifizierungsstelle), damit Ihr Browser überprüfen kann, ob Ihr Zertifikat vertrauenswürdig ist.

Weitere Informationen finden Sie in den StartSSL-FAQ .

    
TobiX 04.06.2012 21:05
quelle
2

Das Problem wurde gefunden. Ich habe das StartSSL-Zertifikat in unserem Keystore falsch importiert. Außerdem habe ich "weblogic" als Alias ​​in der Weblogic-Konsole angegeben, der nicht das Zertifikat, sondern das öffentliche / private Schlüsselpaar ist. Ich verwende Portecle , um den Keystore zu bearbeiten.

Als ich festgestellt habe, dass ich wahrscheinlich den falschen Alias ​​verwendet habe, habe ich ihn in den Alias ​​des Zertifikats geändert. Dies führte zu einem Weblogic-Fehler:

%Vor%

Am Ende habe ich diese Schritte ausgeführt, um das Zertifikat und den privaten Schlüssel in einen PKCS # 12 Keystore zu packen. Ich habe dann diesen Keystore mit Portecle in unseren Java Keystore importiert:

  1. Exportieren Sie den öffentlichen / privaten Schlüssel "weblogic" mithilfe von Portecle als PKCS # 12-Schlüsselspeicher.

  2. Extrahieren Sie den privaten Schlüssel aus diesem Schlüsselspeicher mit openssl:

    openssl pkcs12 -in weblogic.p12 -nocerts -out privatekey.pem

  3. Verpacken Sie das Zertifikat und den privaten Schlüssel als PKCS # 12 Keystore ( cert.p12 ) mit openssl:

    openssl pkcs12 -export -in cert.cer -schlüssel privatekey.pem -out cert.p12 -name cert -CAfile ca.pem -caname root

  4. Importieren Sie die Datei cert.p12 in unseren Java-Keystore unter Verwendung von "Cert" als Alias.

  5. Die Weblogic-Konfiguration wurde geändert, um den Alias ​​"cert" mit der richtigen Passphrase zu verwenden.

Und es hat funktioniert!

PS: Ich habe die JCE unlimited hinzugefügt Strength Policy auf dem Weg seit Portecle einmal darüber beklagt.

    
Steven Devijver 05.06.2012 13:38
quelle
-1

Im Allgemeinen sind der Trust Store und der Keystore getrennt, aber der obige Fehler wird nicht verursacht.

Wenn Ihr Browser der CA nicht vertraut, erhalten Sie den obigen Fehler. Sie müssen die Stammzertifizierungsstelle zu Ihrem Browser hinzufügen. Sie können die von Ihrem Browser unterstützten Zertifikate überprüfen. ZB für IE - & gt; Werkzeuge - & gt; Internetoptionen - & gt; Inhalt - & gt; Zertifikate - & gt; Vertrauenswürdige Stammzertifizierungsstelle

Vorausgesetzt, Sie müssen dies in einen oder zwei Browser importieren, ist das keine große Sache. Aber wenn Sie dies unternehmensweit tun müssen (dh 100 oder 1000 Browser), benötigen Sie Hilfe von Ihrem Desktop-Support-Team!

    
bubbly 04.06.2012 20:56
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Wie komme ich von iframe zur Hauptseite zurück, um auf den Elementen der Hauptseite zu arbeiten - mit selen webdriver [closed]