Zertifikatsverwaltung mit Java (Teil 2)

Zertifikatsverwaltung mit Java (Teil 2)

Eingetragen bei: Java, Zertifikate | 0

Im zweiten Teil gehe ich auf das Importieren von Zertifikaten in den keystore und das Auflisten der importierten Zertifikate ein. Zuletzt erkläre ich wie man selbstsignierte Zertifikate erstellt.

 

3_import.bat

Befehlszeilen:

 

Erläuterung:

Mit diesem Befehl fügt man Zertifikate in die keystore Datei ein. Dies sind üblicherweise das Zertifikat, das man als Antwort auf den CSR bekommen hat, sowie ein root- und ggf. ein Zwischen- (intermediate) Zertifikat des Ausstellers.

  • trustcacerts durch diesen Befehl berücksichtigt Java auch Zertifikate aus dem Java Installationsverzeichnis um die Gültigkeit der Zertifikatskette zu überprüfen.
  • alias der eindeutige Name, den das importierte Zertifikat im keystore haben soll. Ist das Zertifikat die Antwort auf einen CSR muss der Alias dem Alias des Schlüssel entsprechen (Default: mykey).
  • file gibt den Pfad zum zu importierenden Zertifikat an.
  • keystore gibt den Pfad und Namen der keystore Datei an. Falls man die Option weglässt speichert Java die Datei im Defaultpfad (Windows: %USERPROFILE%\.keystore).
  • storepass definiert das Passwort des keystore. Wird es nicht angegeben, wird keytool danach fragen.

Mit dieser bat-Datei fügt keytool Zertifikate in den keystore ein. Im Beispiel fügen wir das root Zertifikat, das Zwischenzertifikat und das eigentliche Zertifikat (das vorher per CSR beantragt wurde) ein. Für unser Zertifikat haben wir keinen Alias angeben, da wir beim Erstellen des Schlüssels auch kein Alias vergeben haben. Java verwendet dann den Defaultwert mykey.

4_list.bat

Befehlszeile:

Erläuterung:

Mit diesem Befehl lässt man sich den Inhalt des keystores ausgeben.

  • keystore gibt den Pfad der keystore Datei an
  • storepass ist das Passwort für den keystore. Wird es nicht angegeben, wird keytool danach fragen

5_selfsign.bat

Befehlszeile:

 

Erläuterung:

Manchmal braucht man kein „richtiges“ Zertifikat von einem Zertifikatsaussteller, dann kann man auch selbst ein Zertifikat erstellen. Zum Beispiel für Testzwecke reicht ein selbstsigniertes Zertifikat vollkommen aus. Für den produktiven Einsatz sollte man jedoch nur Zertifikate von ordentlichen Ausstellern verwenden.

  • validity ist die Gültigkeit des Zertifikats in Tagen
  • keystore gibt den Pfad der keystore Datei an
  • storepass ist das Passwort für den keystore. Wird es nicht angegeben, wird keytool danach fragen

Am besten erstellt man sich einen neuen keystore (siehe Teil 1) und signiert dann in diesem keystore selbst. Ich achte immer darauf keystores mit selbstsignierten Zertifikaten von keystores mit produktiven Zertifikaten getrennt zu halten.

 

Im dritten und letzten Teil geht es dann um das Exportieren und Löschen von Zertifikaten.

Hinterlasse einen Kommentar