1
Kann ich ein Tomcat SSL Zertifikat mit Microsoft Zertifikats Services beglaubigen?
Guten Abend,
ich brauche mal etwas Hilfe von jemanden der sich hiermit besser auskennt. Für mich ist das Thema noch sehr neu.
Auf einem W2K3 Anwendungsserver ist ein Apache 2 + Tomcat installiert.
Die Anwendung wird über eine Webseite (https) bereitgestellt.
Nun ist das Zertifikat abgelaufen. Ich habe mit mit dem keytool ein neues Zertifikat sowie eine Request Datei erstellt.
Für diesen internen Webserver soll ich mit mit Hilfe der Microsoft Zertifikats Services (es gibt bei uns einen PKI Server im Unternehmen)
ein SSL Zertifikat erstellen.
Ich habe jetzt verschiedene Dinge probiert:
1. Mit dem PKI Server eine Webserver Zertifikat erstellt und es in den Keystore importiert.
Das wurde auch fehlerfrei akzeptiert. Den Keystore habe ich wieder in das ssl Verzeichnis des Tomcat kopiert.
Allerdings kann ich nach dem Neustart von Tomcat nicht die https Seite aufrufen, der Browser sucht sie ewig.
2. Mit keytool ein Zertificat sowie ein Request erstellt und den Inhalt der Requestdatei dem PKI Server gegeben der mit dann ein SSL Zertifikat gebaut hat.
Das konnte ich mit dem keytool nicht importieren. Es wurde ihm nicht vertraut.
Somit habe ich jetzt den Tomcat angehalten und die alte .keystore Datei wieder eingespielt damit die Anwendung läuft.
Geht das überhaupt was ich hier machen will?
Für hilfreiche Hinweise bin ich dankbar.
grüße vom it-frosch
Die Anwendung wird über eine Webseite (https) bereitgestellt.
Nun ist das Zertifikat abgelaufen. Ich habe mit mit dem keytool ein neues Zertifikat sowie eine Request Datei erstellt.
Für diesen internen Webserver soll ich mit mit Hilfe der Microsoft Zertifikats Services (es gibt bei uns einen PKI Server im Unternehmen)
ein SSL Zertifikat erstellen.
Ich habe jetzt verschiedene Dinge probiert:
1. Mit dem PKI Server eine Webserver Zertifikat erstellt und es in den Keystore importiert.
Das wurde auch fehlerfrei akzeptiert. Den Keystore habe ich wieder in das ssl Verzeichnis des Tomcat kopiert.
Allerdings kann ich nach dem Neustart von Tomcat nicht die https Seite aufrufen, der Browser sucht sie ewig.
2. Mit keytool ein Zertificat sowie ein Request erstellt und den Inhalt der Requestdatei dem PKI Server gegeben der mit dann ein SSL Zertifikat gebaut hat.
Das konnte ich mit dem keytool nicht importieren. Es wurde ihm nicht vertraut.
Somit habe ich jetzt den Tomcat angehalten und die alte .keystore Datei wieder eingespielt damit die Anwendung läuft.
Geht das überhaupt was ich hier machen will?
Für hilfreiche Hinweise bin ich dankbar.
grüße vom it-frosch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172449
Url: https://administrator.de/contentid/172449
Printed on: April 25, 2024 at 14:04 o'clock
1 Comment
Hallo it-frosch,
da SSL-Zertifikate standarisiert sind sollte es ohne grosse Probleme gehen.
Vielleicht hilft dir der folgende Link: http://www.nixadmins.net/2011/03/08/signing-tomcat-csr-with-microsoft-a ...
Oder dieser Post auf http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ...
Gruss
Thomas
da SSL-Zertifikate standarisiert sind sollte es ohne grosse Probleme gehen.
Vielleicht hilft dir der folgende Link: http://www.nixadmins.net/2011/03/08/signing-tomcat-csr-with-microsoft-a ...
Oder dieser Post auf http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ...
Shems,
For non-Windows environments, I suggest you familiarize yourself with OpenSSL and Keytool. For web servers (Apache/Tomcat) you need to issue a certificate which has the "Server Authentication" use in the key usage extension. You can duplicate the default web server certificate template and then make changes to this template. You'll need to enable the user to enroll through the security tab on the template. You'll then need to add the template in the CA snap-in to make it available for publishing.
One final tip... beware of encoding formats ... Apache likes the PEM format while Tomcat likes DER encoding).
Regards,
Mylo
Gruss
Thomas
