# Keytool Zertifikatfehler IE8



## Hippo (2. Dez 2010)

Hallo,
ich habe mir mit Keytool einen Key generiert, den ich zum öffnen einer Webseite mit SSL verwenden möchte. Den Aufruf habe ich wie folget getätigt: 
keytool.exe -genkey -alias tomcat –keyalg RSA -keystore PfadZumKey\.zertifikat
Als Vor- und Nachnahme habe ich den FQDN des Servers angegeben.
Keytool generiert mir auch das Zertifikat ohne Fehlermeldung und die Webseite kann ich mit https// öffnen. Leider bringt mir der IE8 einen Zertifikatfehler, dass das Zertifikat ungültig ist. Ein Import des Zertifikats über den IE8 ist auch nicht möglich. Woran kann es liegen, dass ich einen Zertifikatsfehler bekomme?

Danke


----------



## FArt (3. Dez 2010)

Warum sollte ein selbstgebautes (selbstsigniertes) Zertifikat gültig sein?
Somit muss man dem Aussteller vertrauen und das Zertifikat importieren: Installation von Schlüsseln und Zertifikaten mit dem Internet Explorer

Das hier könnte noch hilfreich sein: OpenSSL: The Open Source toolkit for SSL/TLS


----------



## nocturne (3. Dez 2010)

Hallo, du meinst "Mutual-Authentication"

so geht das leider nicht. Du erstellst ja eine art digitale Signatur(ein Personalausweis ist ein guter Vergleich aka Selbstsigniertes Zertifikat) für den Server. Der Client bekommt ein installierbares Zertifikat (die Kopie des Personalausweises ist ein guter Vergleich). 
Mit dieser Digitalen Signatur wird die Kommunikation zum Server verschlüsselt, du hast also ein keyring(Zertifikatsammlung) ein Trustlist(im Browser) und ein für Tomcat/Jboss installierbares Zertifikat.

Was du aber willst ist ein Personalausweis für den Browser (Weitere 3 Dateien)! Dieser kann nur mit einer ANT-Datei erstellt werden.
Der Trick dabei: Wenn der Server einen Client erkennen soll, muss in die Trustlist des Servers das Installierbare Zertifikat des Clients installiert werden.

Wenn du ganz Cool bist gehst du zu startssl und besorgst dir ein Fremdsigniertes-Zertifikat

Hier die Ant-Datei (als Zip weiter unten, eine zip ist ein toter Link, einfach den anderen link nehmen):
SSLSetup - JBoss Community


Bei fragen einfach fragen.


----------



## FArt (3. Dez 2010)

nocturne hat gesagt.:


> Hallo, du meinst "Mutual-Authentication"
> 
> so geht das leider nicht. Du erstellst ja eine art digitale Signatur(ein Personalausweis ist ein guter Vergleich aka Selbstsigniertes Zertifikat) für den Server. Der Client bekommt ein installierbares Zertifikat (die Kopie des Personalausweises ist ein guter Vergleich).
> Mit dieser Digitalen Signatur wird die Kommunikation zum Server verschlüsselt, du hast also ein keyring(Zertifikatsammlung) ein Trustlist(im Browser) und ein für Tomcat/Jboss installierbares Zertifikat.
> ...



Sorry, aber das ist so nicht ganz richtig. 
Man benötigt kein ANT Skript und die Beschreibung ist sehr lückenhaft. Das Zertifikat muss nur im Browser installiert sein, wenn es selbstsigniert ist. Man brauch keine 3 Dateien. Es gibt dieses Zertifikat in verschiedenen Formaten und verschiedene Tools benötigen mal das eine oder andere Format, aber das hängt davon ab, was man wo erreichen möchte. Ob hier mutual authentication gemeint ist, ist sehr fraglich. Der Satz "zum öffnen einer Webseite mit SSL" hört sich nach reinem Serverzertifikat an.


----------



## Hippo (3. Dez 2010)

Hallo und Danke erst mal.
Es geht um ein reines Serverzertifikat.
Das mit dem importieren des Zertifikat habe ich schon probiert und funktioniert leider nicht.
Ich kann mir ja das Zertifikat im IE anzeigen lassen und es auch installieren. Leider ist es dem IE völlig egal und zeigt immer wieder den Zertifikatsfehler an. Ich habe auch schon versucht das Zertifikat in unterschiedliche Zertifikatspeicher zu importieren, leider ohne erfolg.


----------



## FArt (3. Dez 2010)

Was ist das für ein Fehler? Unter Umständen macht der IE so nur darauf aufmerksam, dass das ein selbst signiertes Zertifikat ist...


----------



## Hippo (3. Dez 2010)

Ich habe den Fehler gefunden. 
Ich habe das Zertifikat immer mit dem FQDN des Servers erstellt. Diese Zertifikat funktionierte nicht. Nun habe ich das Zertifikat auf den NetBIOS Namen des Servers ausgestellt und nun lässt sich das Zertifikat in den Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungstelle" importieren.

Kann ich eigentlich die Gültigkeit des Zertifikats beim erstellen anpassen?


----------



## FArt (3. Dez 2010)

Hippo hat gesagt.:


> Kann ich eigentlich die Gültigkeit des Zertifikats beim erstellen anpassen?



-validity
keytool-Key and Certificate Management Tool


----------



## Hippo (3. Dez 2010)

Danke! :toll:


----------



## nocturne (4. Dez 2010)

ok, geirrt


----------

