浏览器不接受StartSSL 1类证书(Weblogic 10.0.1)

时间:2012-06-04 09:50:53

标签: ssl weblogic ssl-certificate weblogic-10.x keytool

我已经从StartSSL申请了1级证书并将其安装在Weblogic 10.0.1中(见截图)。

WLS keystore config WLS SSL config

浏览器(Windows 7上的Chrome& IE9,XPSP3上的IE8)仍然会出现证书错误(请参见屏幕截图)。

certificate error 1 certificate error 2

我认为StartSSL根证书可以在多个浏览器中使用(参见here)。请指教。

3 个答案:

答案 0 :(得分:26)

StartSSL Class 1证书由中间CA签名,由StartCom根CA签名。为了让您的浏览器信任此证书,它需要知道它已经知道的根CA的信任链。

您的服务器需要将完整的信任链发送到浏览器(减去根CA),这样您的浏览器就可以验证您的证书是否可信。

有关详细信息,请参阅StartSSL FAQ

答案 1 :(得分:2)

发现问题。我在密钥库中错误地导入了StartSSL证书。另外,我在Weblogic控制台中将“weblogic”指定为别名,该控制台不是证书,而是公钥/私钥对。我正在使用Portecle来编辑密钥库。

当我注意到我可能使用了错误的别名时,我已将其更改为证书的别名。这导致了Weblogic错误:

Inconsistent security configuration, weblogic.management.configuration.ConfigurationException: No identity key/certificate entry was found under alias startssl-hostname in keystore keystore_StartSSL on server servername

最后,我按照这些步骤将证书和私钥打包到一个PKCS#12密钥库中。然后我使用Portecle将该密钥库导入我们的java密钥库:

  1. 使用Portecle作为PKCS#12密钥库导出“weblogic”公钥/私钥。
  2. 使用openssl:

    从此密钥库中提取私钥

    openssl pkcs12 -in weblogic.p12 -nocerts -out privatekey.pem

  3. 使用openssl将证书和私钥打包为PKCS#12密钥库(cert.p12):

    openssl pkcs12 -export -in cert.cer -inkey privatekey.pem -out cert.p12 -name cert -CAfile ca.pem -caname root

  4. 使用“cert”作为别名,使用Portecle将cert.p12文件导入我们的java密钥库。

  5. 更改了Weblogic配置,使用带有正确密码的“cert”别名。

  6. 它有效!

    PS:自从Portecle一度抱怨此事以来,我已经添加了JCE unlimited strength policy

答案 2 :(得分:-1)

通常,信任存储和密钥库是分开的,但不会导致上述错误。

如果您的浏览器不信任CA,那么您将收到上述错误。您需要将根CA添加到浏览器中。您可以检查浏览器支持的证书。 例如,IE - >工具 - >互联网选项 - >内容 - >证书 - >受信任的根CA

假设您需要将其导入一个或两个浏览器,这不是什么大问题。但是,如果您需要在整个企业中进行此操作(意味着100或1000个浏览器),您将需要桌面支持团队的帮助!