ssl Problem

    • Neu

    Hallo liebe Comunity,

    ich teste gerade Agorum Core Open und habe Probleme mit dem Import von ssl Zertifikaten.

    Im Support Tool bekomme ich die Meldung "Unable to import certificate: Keystore was tampered with, or password was incorrect", kann aber mit Keytool den keystore auslesen. Vorab habe ich den Keystore exportiert.

    Dies ist eine frische "out of the box" Installation. In einer vorigen Installation konnte ich Zertifikate nur mit dem Keytool installieren, aber dann lief Agorum nicht mehr sauber.

    Ich habe im Support Tool ein CSR erstellt, dann das Zertifikat von der internen CA erstellen lassen.


    Gibt es irgend etwas zu beachten, was man nicht in der Doku findet.


    Viele Grüße

    Reinhard

    • Neu

    Hallo Reinhard

    hast du eine Aktion im Supporttool ausgeführt, in deren Folge die Meldung "Unable to import certificate: Keystore was tampered with, or password was incorrect" auftrat?

    Wichtig im Sinne des SSL bei agorum ist, dass bei der manuellen "keystore"-Behandlung immer "tomcat" als alias für das Zertifikat zu verwenden ist.
    Weiterhin ist es so (meines Wissens nach), dass das CSR,d as agorum erstellt kein "SAN" (Subject Alternative Name) enthält. Damit wird das Zertifikat für chromium-basierte Browser (chrome, edge..) als ungültig angezeigt.
    Wir sind da bisher nur drum herum gekommen, in dem wir

    a) manuell ein eigenes csr erstellt haben

    b) direkt (ohne CSR) ein Zertifikat von der lokalen CA ausgestellt haben.


    Vielleicht hilft das ja?

    • Neu

    Hallo Volker,

    vielen Dank für deine schnelle Antwort. Ja, ich habe vorab den Keystore mit dem Support Tool exportiert. Da ich mir durch diverse Versuche ein eigenes SSL Zertifikat zu installieren bereits ein Testsystem unbrauchbar gemacht habe.

    Nach der manuellen Installation über Keytool habe ich die Aliase der gespeicherten Zertifikate geändert, sodass das eigene nun den Alias Tomcat aufweist. Leider wird bei einer https Verbindung, weiterhin das alte roihost Zertifikat verwendet.

    Im Übrigen meldet der Zertifikat Import im Support Tool beharrlich „Unable to import certificate: Alias 'tomcat' has no key“. Deshalb habe ich auf manuellen Import mit Keytool umgestellt. Mir scheint es so, als wäre entweder die Doku nicht vollständig, oder der Import über das Support Tool buggy. Mit Keytool kann ich die Zertifikate, die das Support Tool anmeckert, ohne weiteres installieren.

    Nur bekomme ich, sobald das Originalzertifikat roihost entfernt ist, die Fehlermeldung „roihost error: something is wrong with your roihost entry in the hosts file“ im Support Tool angezeigt.

    Also mit vorhandenem roihost Zertifikat, ganz gleich welcher Alias gesetzt ist, läuft alles, nur https meldet ein falsches Zertifikat und ohne roihost Zertifikat obiger Fehler und keine https Verbindung.

    Soweit ich das bis jetzt durchdrungen habe, benötigen die internen Routinen das roihost Zertifikat. Sind aber zwei vorhanden, wird nur roihost verwendet.

    Dein Hinweis mit dem SAN wäre doch etwas für die Entwickler.

    Ich habe ebenfalls bereits versucht ein eigenes, von der CA ausgestelltes Zertifikat zu installieren, das änderte aber nichts am oben beschriebenen Verhalten.

    Noch weitere Ideen?

    • Neu

    Hallo Reinhard,

    wir verwenden tatsächlich i.d.R. strikt die Doku von agorum
    Nur den csr passen wir an, damit wir ein für Chrome gültiges SSL-Zertifikat bekommen.

    Code
    ./keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore /root/.keystore
./keytool -certreq -alias tomcat -file request.csr -keystore /root/.keystore

    Hier müssen wir explizit das -alias tomcat mitführen.

    • Neu

    Hallo Volker,

    vielen Dank für die Hinweise, den entscheidenden habe ich tatsächlich in deiner Antwort zu dem Problem mit Let's Encrypt gefunden. Ich hatte nicht bedacht, dass beim Export in einen pkcs12 Keystore, das enthaltene Zeritifikat das Passwort, welches beim Erstellen des Keystores zwingend eingegeben werden muss, übernimmt. Die Änderung auf "changeit" brachte den Erfolg.


    Vielen Dank

    Reinhard

Jetzt Teil von agorum Community werden!

Noch kein Benutzerkonto? Registriere dich kostenlos und werde Teil von agorum Community!

Benutzerkonto erstellen Anmelden