2011-08-23 104 views
2

我有三個來自Entrust的文件:* .csr,* .key和* .crt。使用現有的信任證書的Jetty SSL連接問題

到目前爲止:

  1. 我帶來了* .KEY和* .CRT到使用OpenSSL
  2. 我一直在使用密鑰工具
  3. 使用這種進口的* .pkcs12到密鑰庫密鑰庫PKCS12技術,我可以使用與Jetty的SSL連接

但是,我在IE中收到證書錯誤(Chrome中的不安全項目)。

在我們的案例中,證書目前正用於域:80(Apache),我試圖「重複使用」他們的域:8443(Jetty)。

我錯在認爲我可以將這些用於Jetty嗎?在同一個IP /域上,但在不同的端口和Web服務器上?我的直覺告訴我,其中一個文件涉及到承認Apache(* .csr)的Entrust,並且我應該爲Jetty做同樣的事情?

編輯#1

錯誤去如下:

Certificate Error 

Untrusted Certificate 

The security certificate presented by this webiste was not issued by a trusted certificate authority 

This problem may indicate an attempt to fool you or intercept any data you send to the server. 

We recommend that you close this webpage. 

但還沒有瀏覽器,將其視爲有效。因爲這是我們的標準,所以我必須在IE上工作。

編輯#2

  1. Chrome不抱怨
  2. 也不火狐

編輯#3

我發現在Apache中指定我們的CA證書conf文件。然後我開始將我們的證書與CA證書連接成一個PKCS12文件。然後,使用keytool,我生成密鑰庫。

我將它加載到服務器上,重新啓動並在IE中查看。 IE仍然顯示證書問題。

在連接文件中,我按照以下順序來看:我們的證書,然後是其他2個證書。

在一個側面說明中,我打電話給Entrust,當他使用IE 8時,CSR看到了問題。我們使用IE7。

編輯#4

使用該命令:

keytool -list -keystore keystore -v 

它顯示了3個證書(以該順序):

  1. 我們
  2. 擁有者:CN =委託認證Authority - L1C,
  3. Own ER:CN = Entrust.net證書頒發機構(2048)

編輯5

解決了!我想我有一個緩存問題。與同事確認。

答案,將我所有的證書(包括CA證書)連接到密鑰庫中解決了我的問題。

+0

究竟是什麼錯誤? –

+0

@GregS查看編輯,我添加了特定的錯誤。 – TekiusFanatikus

+0

就證書而言,該端口或應用程序是無關緊要的。如果需要,您可以在所有65000個端口上使用相同的證書,每個端口有不同的應用程序監聽。我沒有足夠的信息來進一步診斷。我只能建議你仔細檢查你的證書設置。 –

回答

0

如註釋中所述,端口號與信任SSL/TLS連接無關。

的問題是,從證書到委託根整個證書鏈可能看起來像這樣

your cert - intermediate CA 1 - intermediate CA 2 - ... - root CA 

爲了使這項工作的IE瀏覽器,你不僅要導入證書到PKCS#12容器,但還有中間證書和根證書。否則,您的SSL實現將無法在SSL握手期間提供完整路徑,因此IE無法構建適當的鏈以與其一組受信任的根證書進行比較。

所以我的建議是從相應的網站獲取中間證書並將它們輸入keytool到您的PKCS#12密鑰存儲區。

一旦完成,IE應該從此接受而不抱怨。

+0

這個文件不會是* .csr,我已經擁有了,對嗎?另外,由於我們直接從Entrust那裏得到它,我以爲沒有任何中間體? – TekiusFanatikus

+0

.csr是PKCS#10證書籤名請求,這可能是您的初始請求,則沒有其他信息,或者它也可能是由Entrust簽署的已簽名響應。在這種情況下,你可以在那裏尋找證書。嘗試'openssl req -in myreq.csr -noout -text'和'openssl pkcs7 -in myreq.csr -print_certs -noout'看看裏面有什麼。沒有CA將直接在根CA下頒發最終用戶證書。他們將始終擁有頒發實際證書的根CA下的子CA,因此您仍然需要中級證書的機會很高。 – emboss

+0

我找到了我們的CA證書。我將它與我們自己的證書連接起來,重新創建PKCS12文件並使用keytool生成密鑰庫。 IE仍然抱怨。你發佈的第一條命令顯示了一些信息。第二個創建了一個錯誤。 – TekiusFanatikus