He solicitado un certificado de clase 1 de StartSSL y lo he instalado en Weblogic 10.0.1 (ver capturas de pantalla).Certificado StartSSL de clase 1 no aceptado por el navegador (Weblogic 10.0.1)
Los navegadores (Chrome & IE9 en Windows 7, IE8 en XPSP3) siguen dando un error de certificado (ver capturas de pantalla).
creo que el certificado raíz StartSSL está disponible en varios navegadores (ver here). Por favor avise.
Generalmente, el almacén de confianza y el almacén de claves estarían separados, pero no provocarán el error anterior.
Si su navegador no confía en la CA entonces recibirá el error anterior. Debe agregar la CA raíz a su navegador. Puede verificar los certs que su navegador soporta. Ej. Para IE -> Herramientas -> Opciones de Internet -> Contenido -> Certificados -> Trusted Root CA
Suponiendo que necesita importar esto en uno o dos navegadores, no es un gran problema. Pero si necesita hacer esto en toda la empresa (es decir, 100 o 1000 de exploradores), ¡necesitará la ayuda de su equipo de soporte de escritorio!
Los certificados de StartSSL Clase 1 están firmados por una CA intermedia, que está firmada por la CA raíz de StartCom. Para que su navegador confíe en este certificado, necesita conocer la cadena de confianza hasta la CA raíz que ya conoce.
Su servidor necesita enviar la cadena de confianza completa al navegador (menos la CA raíz), por lo que su navegador puede verificar que su certificado sea de confianza.
Consulte el StartSSL FAQ para obtener más información.
He importado tanto la raíz de StartSSL como los certificados intermedios en el almacén de claves según estas instrucciones: https://forum.startcom.org/viewtopic.php?t=1390 –
Encontré [este paquete] (http: // www) .startssl.com/certs/ca-bundle.pem) particularmente útil en la creación del certificado encadenado. –
Ha encontrado el problema. Importé el certificado StartSSL incorrectamente en nuestro almacén de claves. Además, he especificado "weblogic" como alias en la consola de Weblogic, que no es el certificado sino el par de claves pública/privada. Estoy usando Portecle para editar el almacén de claves.
Cuando me he dado cuenta de que probablemente estaba usando el alias incorrecto, lo cambié al alias del certificado. Esto dio lugar a un error de Weblogic:
Inconsistent security configuration, weblogic.management.configuration.ConfigurationException: No identity key/certificate entry was found under alias startssl-hostname in keystore keystore_StartSSL on server servername
Al final he seguido estos pasos para empacar el certificado y la clave privada en un almacén de claves PKCS # 12. entonces yo he importado que almacén de claves en nuestro almacén de claves de Java utilizando Portecle:
extraer la clave privada a partir de este almacén de claves usando openssl:
openssl pkcs12 -en weblogic.p12 -nocerts salida privado PrivateKey.pem
paquete certificado y la clave privada como un almacén de claves PKCS # 12 (cert.p12) usando openssl:
openssl pkcs12 -export -en cert.cer -inkey privatekey.pem salida privado cert.p12 -nombre cert -CAfile ca.pem -caname root
Importe cert.p12 archivo en nuestro almacén de claves java utilizando Portecle usando "cert" como alias.
Cambié la configuración de Weblogic para usar el alias "cert" con la frase de contraseña correcta.
Y funcionó!
PD: He agregado el JCE unlimited strength policy en el camino ya que Portecle se quejó de esto en un punto.
El usuario nunca debería tener que agregar manualmente un certificado al navegador. – Teekin
"nunca", ¿en serio? ¿Qué pasa cuando usa un sistema de PKI interno? Muchas compañías usan un sistema interno de PKI. – bubbly