Fortytwo - Answer to the Ultimate Question of Life, the Universe, and Everything

User Tools

Site Tools

Trace: letsencrypt-java
letsencrypt-java

letsencrypt & JAVA

Seit 3.12.2015 befindet sich letsencrypt.org in der offenen Beta Phase, das heißt, es gibt Zertifikate für alle. Leider fehlt das Root Zertifikat, mit dem das CA Zertifikat der Intermediate CAs, die die Zertifikate dann letztendlich ausstellen im Default JAVA Truststore. Das kann aber geändert werden:

  1. Exportieren des “DSTRootCAX3”, der Einfachheit halber mit Firefox aus der Zertifikatskette einer schon per letsencrypt “verschönerten” Website
  2. Import mittels Java Keytool (Teil des JDK) in den Truststore der JRE:
    C:\>set PATH=%PATH%;"D:\Program Files (x86)\Java\jdk1.8.0_66\bin"
C:\>cd /d "D:\Program Files (x86)\Java\jre1.8.0_66\lib\security"
D:\Program Files (x86)\Java\jre1.8.0_66\lib\security>copy cacerts cacerts.bak
D:\Program Files (x86)\Java\jre1.8.0_66\lib\security>keytool -import -trustcacerts -alias DSTRootCAX3 -file DSTRootCAX3.crt -keystore cacerts
Keystore-Kennwort eingeben: changeit
Eigentümer: CN=DST Root CA X3, O=Digital Signature Trust Co.
Aussteller: CN=DST Root CA X3, O=Digital Signature Trust Co.
Seriennummer: 44afb080d6a327ba893039862ef8406b
Gültig von: Sat Sep 30 23:12:19 CEST 2000 bis: Thu Sep 30 16:01:15 CEST 2021
Zertifikat-Fingerprints:
         MD5:  41:03:52:DC:0F:F7:50:1B:16:F0:02:8E:BA:6F:45:C5
         SHA1: DA:C9:02:4F:54:D8:F6:DF:94:93:5F:B1:73:26:38:CA:6A:D7:7C:13
         SHA256: 06:87:26:03:31:A7:24:03:D9:09:F1:05:E6:9B:CF:0D:32:E1:BD:24:93:FF:C6:D9:20:6D:11:BC:D6:77:07:39
         Signaturalgorithmusname: SHA1withRSA
         Version: 3
 
Erweiterungen:
 
#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]
 
#2: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]
 
#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: C4 A7 B1 A4 7B 2C 71 FA   DB E1 4B 90 75 FF C4 15  .....,q...K.u...
0010: 60 85 89 10                                        `...
]
]
 
Diesem Zertifikat vertrauen? [Nein]:  j
Zertifikat wurde Keystore hinzugefügt

Damit funktioniert beispielsweise auf eGit in der Eclipse ohne “http.sslVerify = false”.

, ,
letsencrypt-java.txt · Last modified: 2022/08/10 18:30 by baumi
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki