Re: tomcat + SSL

Fri, 10 Mar 2006 11:04:57 -0800

Nezapomel jste v keystoru vytvorit soukromy klic? Pro keystore ve formatu JKS se musi soukromy klic musi vytvorit keytoolem, nejde naimportovat. Takze z te hlasky "No available certificate or key corresponds to ..." by byla relevantni ta moznost "key"?
My jsme zrovna nedavno generovali klic a importovali certifikat pro Tomcata (v JBossovi, ale konfiguruje se stejne), a vse bez problemu. 

Honza Dvorak


Burdik Petr napsal:


Tak jsem to nakonec vyresil trosilinku jinak. Pomoci PKCS12 
certifikatu. Ale stejne by me zajimalo jak jsem to mel udelat aby to 
fungovalo.


Pet

Burdik Petr napsal(a):


Jeste Doplneni, velikost klice RSA je 2048

Pet

Burdik Petr napsal(a):


Ahojte,
mozna to tu uz bylo, ale presto to jeste zkusim.


Puvodne jsem tvoril pro tomcat keystore pomoci keytool a vse je ok. 
Nyni mi jedou vsechny servery vramci vlastni, Self signed CA.

Pomoci openssl vytvorim ca a certifikat serveru + klic.
Na jetty to slo dle navodu uplne v pohodicce a funguje mi to.

Na tomcatu se mi povedlo vytvorit vlastni keystore pomoci prikazu:

1. krok - vytvoril jsem keystore a naimportoval jsem ca.crt.

keytool -import -alias root -keystore ~tomcat/.keystore 
-trustcacerts -file ca.crt


2. krok - do keystore jsem naimportoval klic k serveru

keytool -import -alias tomcat -keystore ~tomcat/.keystore 
-trustcacerts -file certifikat.crt


3.krok - overil jsem si ze jsou certifikaty v keystore
keytool -list -keystore ~tomcat/.keystore

v konfiguraci tomcatu jsem dal:
<Connector
   className="org.apache.coyote.tomcat5.CoyoteConnector"
   port="443"
   minProcessors="5" maxProcessors="75" acceptCount="100" debug="0"
   enableLookups="true" disableUploadTimeout="true"
   clientAuth="false" scheme="https" secure="true"
   sslProtocol="TLS"
   keystoreFile="/usr/local/jakarta-tomcat5.0/.keystore"
   keystorePass="trupik"

/>                                                                                                                                               



V logu se mi objevilo toto:

ntbpet# cat /usr/local/jakarta-tomcat5.0/logs/catalina.out
9.3.2006 11:55:25 org.apache.coyote.http11.Http11Protocol start
INFO: Starting Coyote HTTP/1.1 on http-10.1.254.251-80
9.3.2006 11:55:25 org.apache.coyote.http11.Http11Protocol start
INFO: Starting Coyote HTTP/1.1 on http-443

9.3.2006 11:55:25 org.apache.tomcat.util.net.PoolTcpEndpoint 
acceptSocket
SEVERE: Endpoint [SSL: 
ServerSocket[addr=0.0.0.0/0.0.0.0,port=0,localport=443]] ignored 
exception: java.net.SocketException: SSL handshake 
errorjavax.net.ssl.SSLException: No available certificate or key 
corresponds to the SSL cipher suites which are enabled.
java.net.SocketException: SSL handshake 
errorjavax.net.ssl.SSLException: No available certificate or key 
corresponds to the SSL cipher suites which are enabled.
   at 
org.apache.tomcat.util.net.jsse.JSSESocketFactory.acceptSocket(JSSESocketFactory.java:113) 

   at 
org.apache.tomcat.util.net.PoolTcpEndpoint.acceptSocket(PoolTcpEndpoint.java:368) 

   at 
org.apache.tomcat.util.net.TcpWorkerThread.runIt(PoolTcpEndpoint.java:549) 

   at 
org.apache.tomcat.util.threads.ThreadPool$ControlRunnable.run(ThreadPool.java:684) 


   at java.lang.Thread.run(Thread.java:595)


Jeste vetsi legranda na tom je, ze soubor logu techto hlasek dokaze 
behem par minut vytvorit i 50 mega. Experimenty jsem prisel na to ze 
keystore urcite nasel.


A jeste udaje o verzich:
[EMAIL PROTECTED] java -version
java version "1.5.0-p2"

Java(TM) 2 Runtime Environment, Standard Edition (build 
1.5.0-p2-pet_07_oct_2005_08_57)
Java HotSpot(TM) Client VM (build 1.5.0-p2-pet_07_oct_2005_08_57, 
mixed mode)


apache tomcat verze 5.0.30



Myslim si ze certifikaty by mely byt v pohode, jinak by se asi 
nenaimportovaly. Krom toho tyto certifikaty pouzivam i ve vyse 
zminenem jetty.

Problem je asi ve zprovozneni v ramci apache.

Mate prosim tuseni kde je problem?

Pekny den
Pet



























					Odpovedet emailem