OpenSSL/java Keytool: Eigene CA und Tomcat
2013-04-24 04:12
naizirk
Hey,
nach folgenden Anleitungen hab ich mal versucht, mir eine eigene CA zu erstellen und für einen Tomcat zu nutzen.
http://fusesource.com/docs/broker/5.3/security/i305191.html
http://fusesource.com/docs/broker/5.3/security/i382664.html
Nach anfänglichen Problemen mit dem Java1.6 Keytool (welches keine ext:ip=x.x.x.x unterstützt) hab ich es mit java1.7 soweit gelöst, dass sowohl im Firefox als auch vom Androidgerät (avd und echtes device) nicht mehr wegen der Übereinstimmung des hosts geweint wird.
Leider sagt mir Firefox immernoch, dass localhost.crt, welches vom Tomcat kommt, wäre selbstsigniert (auch nach import des ca.pem)
Android Browser sagt, dem Zertifikat würde nicht vertraut - obwohl ca.crt (nach konvertierung von .pem zu .crt mit openssl) importiert ist.
Testapp in Android sagt: "trust anchor for certification path not found".
Bin mir jetzt nicht sicher, ob das ganze an der Anleitung hapert (ob die .chain Sache im keystore reicht oder das Signierte crt nicht auch wieder importiert werden müsste - und ob das ca.crt nicht auch importiert werden sollte?) oder ob der tomcat damit irgendwelche Probleme hat?
Hat jemand mal damit rumgespielt oder evtl ne bessere anleitung, sonstige tipps und tricks? alternative lösungsvorschläge nehm ich auch gern, aber selbstsignierte crt sind keine option :-/
nach folgenden Anleitungen hab ich mal versucht, mir eine eigene CA zu erstellen und für einen Tomcat zu nutzen.
http://fusesource.com/docs/broker/5.3/security/i305191.html
http://fusesource.com/docs/broker/5.3/security/i382664.html
Nach anfänglichen Problemen mit dem Java1.6 Keytool (welches keine ext:ip=x.x.x.x unterstützt) hab ich es mit java1.7 soweit gelöst, dass sowohl im Firefox als auch vom Androidgerät (avd und echtes device) nicht mehr wegen der Übereinstimmung des hosts geweint wird.
Leider sagt mir Firefox immernoch, dass localhost.crt, welches vom Tomcat kommt, wäre selbstsigniert (auch nach import des ca.pem)
Android Browser sagt, dem Zertifikat würde nicht vertraut - obwohl ca.crt (nach konvertierung von .pem zu .crt mit openssl) importiert ist.
Testapp in Android sagt: "trust anchor for certification path not found".
Bin mir jetzt nicht sicher, ob das ganze an der Anleitung hapert (ob die .chain Sache im keystore reicht oder das Signierte crt nicht auch wieder importiert werden müsste - und ob das ca.crt nicht auch importiert werden sollte?) oder ob der tomcat damit irgendwelche Probleme hat?
Hat jemand mal damit rumgespielt oder evtl ne bessere anleitung, sonstige tipps und tricks? alternative lösungsvorschläge nehm ich auch gern, aber selbstsignierte crt sind keine option :-/