Keytool Zertifikatfehler IE8

Hippo · 2. Dez 2010

Hallo,
ich habe mir mit Keytool einen Key generiert, den ich zum öffnen einer Webseite mit SSL verwenden möchte. Den Aufruf habe ich wie folget getätigt:
keytool.exe -genkey -alias tomcat –keyalg RSA -keystore PfadZumKey\.zertifikat
Als Vor- und Nachnahme habe ich den FQDN des Servers angegeben.
Keytool generiert mir auch das Zertifikat ohne Fehlermeldung und die Webseite kann ich mit https// öffnen. Leider bringt mir der IE8 einen Zertifikatfehler, dass das Zertifikat ungültig ist. Ein Import des Zertifikats über den IE8 ist auch nicht möglich. Woran kann es liegen, dass ich einen Zertifikatsfehler bekomme?

Danke

FArt · 3. Dez 2010

Warum sollte ein selbstgebautes (selbstsigniertes) Zertifikat gültig sein?
Somit muss man dem Aussteller vertrauen und das Zertifikat importieren: Installation von Schlüsseln und Zertifikaten mit dem Internet Explorer

Das hier könnte noch hilfreich sein: OpenSSL: The Open Source toolkit for SSL/TLS

nocturne · 3. Dez 2010

Hallo, du meinst "Mutual-Authentication"

so geht das leider nicht. Du erstellst ja eine art digitale Signatur(ein Personalausweis ist ein guter Vergleich aka Selbstsigniertes Zertifikat) für den Server. Der Client bekommt ein installierbares Zertifikat (die Kopie des Personalausweises ist ein guter Vergleich).
Mit dieser Digitalen Signatur wird die Kommunikation zum Server verschlüsselt, du hast also ein keyring(Zertifikatsammlung) ein Trustlist(im Browser) und ein für Tomcat/Jboss installierbares Zertifikat.

Was du aber willst ist ein Personalausweis für den Browser (Weitere 3 Dateien)! Dieser kann nur mit einer ANT-Datei erstellt werden.
Der Trick dabei: Wenn der Server einen Client erkennen soll, muss in die Trustlist des Servers das Installierbare Zertifikat des Clients installiert werden.

Wenn du ganz Cool bist gehst du zu startssl und besorgst dir ein Fremdsigniertes-Zertifikat

Hier die Ant-Datei (als Zip weiter unten, eine zip ist ein toter Link, einfach den anderen link nehmen):
SSLSetup - JBoss Community

Bei fragen einfach fragen.

FArt · 3. Dez 2010

nocturne hat gesagt.:
Hallo, du meinst "Mutual-Authentication"

so geht das leider nicht. Du erstellst ja eine art digitale Signatur(ein Personalausweis ist ein guter Vergleich aka Selbstsigniertes Zertifikat) für den Server. Der Client bekommt ein installierbares Zertifikat (die Kopie des Personalausweises ist ein guter Vergleich).
Mit dieser Digitalen Signatur wird die Kommunikation zum Server verschlüsselt, du hast also ein keyring(Zertifikatsammlung) ein Trustlist(im Browser) und ein für Tomcat/Jboss installierbares Zertifikat.

Was du aber willst ist ein Personalausweis für den Browser (Weitere 3 Dateien)! Dieser kann nur mit einer ANT-Datei erstellt werden.
Der Trick dabei: Wenn der Server einen Client erkennen soll, muss in die Trustlist des Servers das Installierbare Zertifikat des Clients installiert werden.

Wenn du ganz Cool bist gehst du zu startssl und besorgst dir ein Fremdsigniertes-Zertifikat

Hier die Ant-Datei (als Zip weiter unten, eine zip ist ein toter Link, einfach den anderen link nehmen):
SSLSetup - JBoss Community

Bei fragen einfach fragen.

Sorry, aber das ist so nicht ganz richtig.
Man benötigt kein ANT Skript und die Beschreibung ist sehr lückenhaft. Das Zertifikat muss nur im Browser installiert sein, wenn es selbstsigniert ist. Man brauch keine 3 Dateien. Es gibt dieses Zertifikat in verschiedenen Formaten und verschiedene Tools benötigen mal das eine oder andere Format, aber das hängt davon ab, was man wo erreichen möchte. Ob hier mutual authentication gemeint ist, ist sehr fraglich. Der Satz "zum öffnen einer Webseite mit SSL" hört sich nach reinem Serverzertifikat an.

Hippo · 3. Dez 2010

Hallo und Danke erst mal.
Es geht um ein reines Serverzertifikat.
Das mit dem importieren des Zertifikat habe ich schon probiert und funktioniert leider nicht.
Ich kann mir ja das Zertifikat im IE anzeigen lassen und es auch installieren. Leider ist es dem IE völlig egal und zeigt immer wieder den Zertifikatsfehler an. Ich habe auch schon versucht das Zertifikat in unterschiedliche Zertifikatspeicher zu importieren, leider ohne erfolg.

FArt · 3. Dez 2010

Was ist das für ein Fehler? Unter Umständen macht der IE so nur darauf aufmerksam, dass das ein selbst signiertes Zertifikat ist...

Hippo · 3. Dez 2010

Ich habe den Fehler gefunden.

Ich habe das Zertifikat immer mit dem FQDN des Servers erstellt. Diese Zertifikat funktionierte nicht. Nun habe ich das Zertifikat auf den NetBIOS Namen des Servers ausgestellt und nun lässt sich das Zertifikat in den Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungstelle" importieren.

Kann ich eigentlich die Gültigkeit des Zertifikats beim erstellen anpassen?

FArt · 3. Dez 2010

Hippo hat gesagt.:
Kann ich eigentlich die Gültigkeit des Zertifikats beim erstellen anpassen?

-validity
keytool-Key and Certificate Management Tool

Hippo · 3. Dez 2010

Danke! :toll:

nocturne · 4. Dez 2010

ok, geirrt

	Titel	Forum	Antworten	Datum
S	Keytool: mögliche Werte für Parameter	Allgemeine Java-Themen	4	20. Mai 2012
M	Keytool - Überprüfung der Gültigkeits eines Zertifikats	Allgemeine Java-Themen	2	12. Okt 2011
S	Keytool: pkcs12 in JKS	Allgemeine Java-Themen	6	5. Aug 2011
	Keytool spinnt	Allgemeine Java-Themen	7	23. Dez 2007

Keytool Zertifikatfehler IE8

Hippo

Mitglied

FArt

Top Contributor

nocturne

Bekanntes Mitglied

FArt

Top Contributor

Hippo

Mitglied

FArt

Top Contributor

Hippo

Mitglied

FArt

Top Contributor

Hippo

Mitglied

nocturne

Bekanntes Mitglied

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen