Tomcat SSL Zertifikat Problem

benhaze

Mitglied Platinum
Hallo liebe Entwicklerfreunde und SSL-Profis!
Ich habe ein Problem beim Importieren eines Zertifikats.

Also, bei uns läuft ein Tomcat.
Für den Zugriff über HTTPS habe ich selber ein Zertifikat erstellt und die Server.xml angepasst
Alles funktioniert (bis auf den Hinweis das ich nicht vertrauenswürdig bin)

Damit dieser Hinweis nun nicht mehr angezeigt wird, sollte ich ein *ECHTES* Zertifikat benutzen.

Irgendwer hat nun bei Thawte so ein Zertifiakt beantragt und mir die Antwort von Thawte weitergeleitet:

>> Congratulations! Thawte has approved your request for a SSL Web Server certificate. Your certificate is included at the end of this email.

Code:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


Mehr habe ich leider nicht an Informationen.
Dieses Zertifikat soll ich nun für den Tomcat verwenden.
Das klappt aber nicht. Ich erhalte verschiedenste Fehlermeldungen.
Zuletzt: SSLException: No available certificate or key corresponds to the SSL cipher suites which are enabled.

Meine Frage nun:
Kann mir jemand auf Anhieb sagen, ob evtl. etwas wichtiges fehlt?
Wie bereits geschrieben, mehr Informationen als diese E-Mail habe ich nicht!
Ich habe das Zertifikat auch nicht beantragt!
Auch habe ich keine große Ahnung von SSL.

Brauche ich nicht noch irgendetwas?
Könnte sonst nicht jeder dieses Zertifikat importieren?

Die Anleitungen auf der Thawte-Website bringen mich dabei nur durcheinander.
Da gibts dann noch CA-Root, Intermediate-Cert , PKS#7, CRT, PEM


Danke
Ben
 

threadi

Erfahrenes Mitglied

benhaze

Mitglied Platinum
Danke für deine Hilfe.
Diese Links kenne ich bereits.
Ich habe auch schon so ziemlich alle Turotials, die ich bei Thawte finden konnte, durch.

Wenn ich es so mache wie beschrieben:

keytool -import -alias tomcat -trustcacerts -file cert.p7b -keystore mykeystore

bekomme ich folgende Fehlermeldung:

Öffentliche Schlüssel in Antwort und Keystore stimmen nicht überein.

Ich bin mir nicht sicher, ob nicht irgendetwas fehlt.
Ich hatte gelesen, das man ein Certificat-Reqeusts (CSR) erstellen muss, um erstmal ein Zertifikat zu bekommen.
Und dieses Zertifikat kann man dann auch nur in den Keystore importieren, mit dem man das CSR erstellt hat.
 

threadi

Erfahrenes Mitglied
Natürlich musst Du das. Das grobe Vorgehen ist ja:

1. Du erstellst einen Zertifikatsrequest (CSR), dabei wirst Du über bestimmte Daten abgefragt wie z.B. Unternehmensname, dein Name, Kontaktdaten etc. Wichtig: auch ein Passwort gibt man dabei an, das muss man sich notieren.
2. Du gibst diesen CSR an eine Zertifizierungsstelle wie Thawte und erhälst nach einiger Zeit (meist recht fix innerhalb eines Tages bei einfachen Domain-Zertifikaten) ein Zertifikat zurück (CRT).
3. Das CRT musst Du zusammen mit dem CSR in die Software einbinden in der Du es nutzen möchtest.

Oben hast Du geschrieben, dass Du von Thawte ein Zertifikat erhalten hast. Wie hast Du die Anfrage denn geschickt, wenn Du nicht mal weißt was ein CSR ist? Irgendwo musst Du das ja haben?
 

benhaze

Mitglied Platinum
Danke schonmal für deine Mithilfe!

Oben hast Du geschrieben, dass Du von Thawte ein Zertifikat erhalten hast. Wie hast Du die Anfrage denn geschickt, wenn Du nicht mal weißt was ein CSR ist? Irgendwo musst Du das ja haben?
Wie ich bereits geschrieben habe:
benhaze hat gesagt.:
Irgendwer hat nun bei Thawte so ein Zertifikat beantragt und mir die Antwort von Thawte weitergeleitet

Die Mail von Thawte wurde über mehrere Personen einfach an mich weitergeleitet, mit dem einzigen Hinweis:
"Dieses Zertifikat muss auf dem Server installiert werden"

Deswegen bin ich zuerst davon ausgegangen, das alles was ich dazu benötige, wohl in der dieser Mail steht.

Zuvor hatte ich mich nie richtig mit SSL und Zertifikaten auseinander setzen müssen.
 

threadi

Erfahrenes Mitglied
Nein, dann hast Du fürchte ich nicht alles vorliegen. Du musst denjenigen finden und wg. des CSR fragen, der das Zertifikat beantragt hat. Diese E-Mail ist wirklich nur die Zusendung des CRT, welches man für sich alleine genommen aber nicht nutzen kann.

Nächste Herausforderung dürfte dann sein, herauszubekommen, ob derjenige der das CRT beantragt hat in seinem CSR auch alles richtig angegeben hat. Also ob bspw. der Domain-Name stimmt. Wenn dort auch nur ein Buchstabe falsch ist, geht es nicht.
 

benhaze

Mitglied Platinum
OK, danke.
Ich vermute ebenfalls das etwas fehlt.
(Ich will mir nur sicher sein, bevor ich nochmal dort anrufe)

Vor wenigen Tagen hatte ich bereits deswegen dort angerufen. (mit der Vermutung das wohl etwas fehlt)
Dort wurde mir erklärt, das es kein Kennwort gibt. (auch kein Keystore)
Man müsse das mit einem Intermediate-Zertifikat machen.
Das könne man sich dort runterladen.
(Tatsächlich, irgendwo dort auf der Thawte-Seite, kann man so ein Zertifikat runterladen, und noch ca 10 andere...)

Diese Aussage kam aber ebenfalls nicht vom ursprünglichen CSR-Ersteller!
Das war auch wieder nur jemand aus der e-Mail-Kette

Kann das denn irgendwie hinhauen?
(Ich habe auch mit diesen Zertifikaten alles mir Erdenkliche probiert. Leider ohne Erfolg.)
 
Zuletzt bearbeitet:

threadi

Erfahrenes Mitglied
Das Intermediate Zertifikat ist das Zertifikat des Zertifikatsausstellers, auch CA genannt. Das braucht man nicht immer, eigentlich nur wenn die Root-Zertifikate auf einem System nicht vorhanden sind oder es sich um ein spezielles Zertifikat handelt welches man einfügen will.

Dein Weg führt weiterhin nur über den CSR-Ersteller.