Ist das 1&1 SSL-Zertifikat auch für Tomcat 5.5 verwendbar?

[axelberle]

Hallo!

Wir haben im Rootserver ein SSL-Zertifikat bestellt und es mit Apache erfolgreich getestet. Dann haben wir beschlossen, mit mehr mit Apache zu arbeiten und ganz auf Tomcat 5.5 umzusteigen.

Unsere Frage ist jetzt, ob wir das Zertifikat, das unter Apache installiert ist, auch für Tomcat 5.5 verwenden können.

Das Einbinden eines Zertifikats unter Tomcat ist folgendermassen zu machen (unter Verwendung des Java keytool)

1. Schlüssen generieren

Code: Select all

keytool  -genkey -alias tomcat -keyalg RSA -keystore /home/tomcat/.keystore

2. Daraus ein Request generieren und an den CA schicken

Code: Select all

keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore /home/tomcat/.keystore

3. Root-Zertifikat des CA importieren

Code: Select all

keytool -import -alias root -keystore /home/tomcat/.keystore -trustcacerts -file /opt/Equifax_Secure_Certificate_Authority.cer

4. Zertifikat des CA importieren

Code: Select all

keytool -import -alias tomcat -keystore /home/tomcat/.keystore -trustcacerts -file /path/to/my/certificate.cer

Wenn alles klappt kommt die Meldung:

Certificate reply was installed in keystore

Wie müsste man also vorgehen (falls das überhaupt geht), um das Zertifikat, das unter Apache installiert ist, in die obigen Schritte einzubinden?

Gruss,

Axel

[Roger Wilco]

Schritt 3 und 4 durchführen. Das Root-Certificate bekommst du von GeoTrust (wenn es nicht eh schon vorinstalliert ist), das X509-Zertifikat und Private Key von deinem Provider.

[axelberle]

Hallo!

Danke für den Tipp, leider hilft mir mein Provider aber nicht, die unterstützen Tomcat nicht. Die Leute haben mir deshalb dieses Forum empfohlen.

Wie gesagt, ich habe eine Apacheinstallation mit installiertem Zertifikat. Wie kann ich da jetzt vorgehen?

Gruss,

Axel

[duergner]

Cert und Keyfile nehmen und entsprechend der Anleitung vorgehen. Oder wo is dein Problem?

[axelberle]

Hallo!

> Cert und Keyfile nehmen und entsprechend der Anleitung vorgehen.

Nun, ich fühle mich ein wenig hilflos. Wie genau sollte ich denn vorgehen? Wo hole ich denn das Certifikat und das Keyfile? Wo liegen die denn bei Apache? Wie binde ich die ein?

Wie gesagt, das Zertifikat ist unter Apache vor-installiert (automatisch über Plesk), und ich weiss wie man den Vorgang unter Tomcat machen würde, wenn ich eine Anfrage generieren würde (nach der Anleitung oben), ich will aber das schon generierte (für Apache) Zertifikat benutzen. Wie genau mache ich das?

Gruss,

Axel

[rootsvr]

Über Grundlagen vom Apache informieren wäre der erste Schritt, Du betreibst schliesslich nen Server.

Als Tip: in der von Plesk geschriebenen vhost.cof oder apache.conf (hab kein Plesk, mußt Du selber suchen) wird irgendwo sicherlich der nen SSL (V)host konfiguriert und da steht dann auch wo das Cert liegt, bei Debian (ohne Plesk) ist das IMHO /etc/ssl/certs oder /etc/ssl/private

[axelberle]

Hi!

Ok, ich glaube auch nicht dass das Suchen der entsprechenden Dateien das Problem ist. Die Frage ist vielmehr, welche Befehle ich benutze, um einen Schlüssel zu importieren (und nicht zu generieren mit -keygen wie im obigen Beispiel).

Ich bin jetzt ein wenig pessimistisch, nach dem ich folgenden Text von Sun studiert habe:

http://java.sun.com/docs/books/tutorial ... tools.html

Ich interpretiere das so, dass es NICHT geht (man muss das Schlüsselpaar neu generieren, und somit kann ich das Zertifikat nicht weiterverwenden).

Oder etwa nicht?

Die verfügbaren Befehle sind:

* -certreq - Generate a Certificate Signing Request (CSR) to be sent to a Certification Authority (CA) so they'll authenticate your public key.
* -delete - Remove the specified keystore entry.
* -export - Export the public key certificate in the specified entry to a file.
* -genkey - Create a keystore entry containing a newly generated private key and corresponding public key. The latter is placed in a self-signed certificate.
* -import - Import either a certificate to be treated as a "trusted certificate" or a certificate reply returned by a CA. The latter will be used to replace the corresponding self-signed certificate in the keystore.
* -identitydb - Import information from a JDK 1.1.x-style identity database.
* -keypasswd - Assign a password to a private key in a key/certificate entry.
* -list - List the keystore entries.
* -printcert - Print out the information in a specified file containing a certificate.
* -storepasswd - Assign a password to the keystore.



Gruss,

Axel

[duergner]

Was an -import hast du nicht verstanden?

[axelberle]

Hallo!

Danke für die schnelle Antwort. Nun zur Frage:

Der Import-Befehl erlaubt es nur ein Zertifikat zu importieren (das enthält aber keine Private-Key), das zu dem entsprechenden Private-Key passt, der mittels genkey generiert wurde;

Andererseits erlaubt dieser Befehl ein "certificate reply" zu importieren. Beide Varianten gehen davon aus, dass der Private-Key schon generiert ist (mittels genkey).

Also, der Befehl importiert kein Key-File.

Gruss,

Axel