Tôi đã yêu cầu chứng chỉ lớp 1 từ StartSSL và cài đặt nó trong Weblogic 10.0.1 (xem ảnh chụp màn hình).Chứng chỉ StartSSL lớp 1 không được trình duyệt chấp nhận (Weblogic 10.0.1)
Các trình duyệt (Chrome & IE9 trên Windows 7, IE8 trên XPSP3) vẫn đưa ra một lỗi chứng chỉ (xem ảnh chụp màn hình).
Tôi nghĩ rằng chứng chỉ gốc StartSSL có sẵn trong một số trình duyệt (xem here). Xin cho biết.
Nói chung cửa hàng tin cậy và kho khóa sẽ tách biệt, nhưng nó sẽ không gây ra lỗi ở trên.
Nếu trình duyệt của bạn không tin cậy CA thì bạn sẽ nhận được lỗi ở trên. Bạn cần thêm CA gốc vào trình duyệt của mình. Bạn có thể kiểm tra các chứng chỉ mà trình duyệt của bạn hỗ trợ. Ví dụ cho IE -> Công cụ -> Tùy chọn Internet -> Nội dung -> Chứng chỉ -> Trusted Root CA
Giả sử bạn cần nhập vào một hoặc hai trình duyệt, nó không phải là vấn đề lớn. Nhưng nếu bạn cần thực hiện điều này trên toàn bộ doanh nghiệp (nghĩa là 100 hoặc 1000 trình duyệt), bạn sẽ cần trợ giúp từ nhóm hỗ trợ máy tính để bàn của mình!
Chứng chỉ StartSSL Lớp 1 được ký bởi một CA trung gian, được ký bởi StartCom Root CA. Để trình duyệt của bạn tin tưởng chứng chỉ này, nó cần phải biết chuỗi tin cậy đến Root CA mà nó đã biết.
Máy chủ của bạn cần gửi chuỗi tin cậy hoàn chỉnh tới trình duyệt (trừ Root CA), để trình duyệt của bạn có thể xác minh rằng chứng chỉ của bạn được tin cậy.
Xem StartSSL FAQ để biết thêm thông tin.
Tôi đã nhập cả chứng chỉ gốc và trung gian StartSSL vào kho khóa theo các hướng dẫn sau: https://forum.startcom.org/viewtopic.php?t=1390 –
Tôi tìm thấy [gói này] (http: // www .startssl.com/certs/ca-bundle.pem) đặc biệt hữu ích trong việc tạo chứng chỉ chuỗi. –
Đã tìm thấy sự cố. Tôi đã nhập chứng chỉ StartSSL không chính xác trong kho khóa của chúng tôi. Ngoài ra, tôi đã chỉ định "weblogic" làm bí danh trong bảng điều khiển Weblogic không phải là chứng chỉ mà là cặp khóa công khai/riêng tư. Tôi đang sử dụng Portecle để chỉnh sửa kho khóa.
Khi tôi nhận thấy rằng có thể tôi đã sử dụng sai bí danh, tôi đã thay đổi bí danh đó thành bí danh của chứng chỉ. Điều này dẫn đến một lỗi WebLogic:
Inconsistent security configuration, weblogic.management.configuration.ConfigurationException: No identity key/certificate entry was found under alias startssl-hostname in keystore keystore_StartSSL on server servername
Cuối cùng tôi đã theo các bước sau để đóng gói các chứng chỉ và khóa bí mật trong một PKCS # 12 keystore. Sau đó tôi đã nhập kho khóa đó vào kho khóa java của chúng tôi bằng cách sử dụng Portecle:
Giải nén private key từ keystore này sử dụng openssl:
openssl pkcs12 -in weblogic.p12 -nocerts out privatekey.pem
trọn gói chứng chỉ và khóa bí mật như một keystore PKCS # 12 (cert.p12) sử dụng openssl:
openssl pkcs12 -Xuất -in cert.cer -inkey privatekey.pem out cert.p12 -name cert -CAfile ca.pem -caname root
Nhập cert.p12 vào kho khóa java bằng cách sử dụng Portecle sử dụng bí danh.
Đã thay đổi cấu hình Weblogic để sử dụng bí danh "cert" với cụm mật khẩu chính xác.
Và nó đã hoạt động!
PS: Tôi đã thêm JCE unlimited strength policy trên đường đi kể từ khi Portecle phàn nàn về điều này tại một thời điểm.
Người dùng không bao giờ phải thêm chứng chỉ theo cách thủ công vào trình duyệt. – Teekin
"không bao giờ", thực sự? Điều gì về khi bạn sử dụng một hệ thống PKI nội bộ? Nhiều công ty sử dụng hệ thống PKI nội bộ. – bubbly