/ / Certificat SSL valide signé par sa propre autorité de certification - java, apache, tomcat, ssl, https

Certificat SSL valide signé par sa propre autorité de certification - java, apache, tomcat, ssl, https

El problème: Je veux avoir mon propre CA et émettre signécertificats pouvant être utilisés en interne à des fins de test des applications Android et des services Web REST communiquant via HTTPS. Mon serveur de choix est Tomcat 7. J'ai suivi les instructions pour configurer SSL à l'aide de keytool sur Tomcat conformément au Installation d'un certificat à partir d'une section d'autorité de certification de sa documentation:

keytool -genkey -alias tomcat -keystore keystore.jks
keytool -certreq -alias tomcat -file certreq.csr -keystore keystore.jks

Pour signer la demande de signature de certificat, j'utilise openssl:

openssl ca -config openssl.cnf -out server.crt -extensions android_ext 
-extfile android_ext.cnf -md sha256 -infiles certreq.csr

Et enfin, j'importe le certificat de l'autorité de certification et le certificat du serveur dans le magasin de clés:

keytool -import -alias root -keystore keystore.jks -trustcacerts -file cacert.crt
keytool -import -alias tomcat -keystore keystore.jks -file server.crt

Après cela, j'ai configuré tomcat pour qu'il utilise keystore.jks et le lance. Si je vais dans Firefox et que j'essaie de naviguer en utilisant https, j'obtiens une erreur «Échec de la connexion sécurisée».

En cours d'exécution openssl s_client je reçois cette sortie.

Exécution de keytool -printcert je reçois cette sortie.

Et si je cours openssl verify -CAfile .cacacert.pem .server.crt Je reçois:

.server.crt: OK

En ce qui concerne ma connaissance de SSL et des certificats, je ne trouve pas pourquoi une erreur se produit lorsque je passe par Firefox Plus intéressant encore, l'utilisation de Chrome me donne une erreur "Connection Reset".

J'ai besoin d'aide pour comprendre ce qui pourrait ne pas être correct? Des pensées?

Réponses:

0 pour la réponse № 1

La soluzione

Après deux jours, nous avons donc essayé de comprendre ce qui pouvait mal tourner - j'ai posté ici en dernier recours - un collègue a indiqué que Chrome supprimerait progressivement les certificats signés - ce,ce et ce. Et apparemment, openssl signe avec sha1 pardéfaut. Il s’agissait donc simplement de créer un nouveau certificat pour le CA avec une signature plus forte et de le signer à nouveau. Voici les commandes pour référence future:

openssl req -new -key .privatecakey.pem.old -out .caca.csr -sha256 -config openssl.cnf
openssl x509 -req -days 8052 -sha256 -in .caca.csr -signkey .privatecakey.pem -out cacacert.pem

questions connexes

Utiliser MakeCert pour créer un certificat de client de production valide pour l’authentification de WCF - wcf, certificat, certificat-ssl, makecert
Comment activer HTTPS pour le tomcat intégré dans Denodo? - tomcat, https, virtualisation des données, denodo
Tomcat avec certificat client et Grails - Tomcat, Grails, certificat SSL
Tomcat ne téléchargera pas le fichier d'un serveur avec un certificat auto-signé - tomcat, ssl, auto-signé, shibboleth
OpenSSL avec Apache Tomcat 6 - tomcat, ssl, openssl
Le certificat auto-signé et le certificat d'autorité de certification racine sont les mêmes? - ssl, https, certificat ssl
Comment puis-je exporter une clé privée à partir d'une chaîne de certificats? [dupliquer] - ssl, openssl, certificat, certificat ssl
Ok pour accepter le certificat auto-signé si je contrôle à la fois le serveur et le client? - ssl, certificate, ssl-certificate
Certificat auto-signé pour localhost - certificat SSL, cryptage par clé publique, certificat numérique
comment configurer SSL pour CAS et le client (différentes machines) - authentification unique, cas
Comment faire confiance à un certificat auto-signé utilisant https? - node.js, ssl, https
Qu'est-ce que JCE Code Signing CA? - java, applet, certificate, jce
Validation du certificat client Tomcat - java, reste, tomcat, ssl, certificat ssl
Implémentation SSL avec Java keytool - java, tomcat, ssl
SSL bidirectionnel (mutuel) avec Glassfish3 / 4 ou Tomcat 8 et certificats auto-signés - Java, Tomcat, SSL, x509certificate, authentification mutuelle
Durée de vie de l'application Tomcat - Java, Tomcat
L'applet Java signé ne fonctionne pas - Java, applet, certificat, signature de code
Configurez Apache en tant que proxy inverse et tomcat sur https - apache, tomcat, https, reverse-proxy
Comment implémenter SSL / HTTPS sur le site Web JSP local? - apache, jsp, tomcat, ssl, https
Appliquer le certificat SSL signé par GoDaddy au sous-domaine - apache, ssl, https