Wildcard Zertifikat Import per SSH

  • Hallo zusammen,


    ich hab am Wochenende eine Starface Appliance aufgebaut bei der ein Wildcard SSL Zertifikat Installiert werden soll.
    der Starface Support hat mir eine Anleitung zur verfügung gestellt wie das Zertifikat per SSH Importiert werden kann.
    Leider bekomme ich beim Import des Zertifikats mit folgendem String: "keytool -importkeystore -deststorepass changeit -destkeystore /root/tomcat.keystore -srckeystore /root/cert.p12 -srcstoretype PKCS12 -srcstorepass changeit"
    Die Meldung: "keytool error: java.io.IOException: keystore password was incorrect".
    Als "-srcstorepass" hab ich das Passwort für das Zertifikat angegeben, was an der Fehlermeldung nichts ändert.
    Leider sieht sich der Support nicht in der Lage hier weiter unterstützung zu leisten.
    Kann mier jemand Tipps geben wo hier das Problem liegen könnte?


    Danke im vorraus,
    chris

  • Hallo Chris


    Wenns mit dem Keytool nicht will, Probiers mal mit dem KeyStore Explorer das ist ein Java Programm mit einer GUI, welches dir u.a. erlaubt Zertifikat in einem Keystore zu ersetzen/importieren.
    Damit haben wir schon jedes Zertifikat in den Tomcat Keystore gekriegt.


    MFG


    Fabian


  • Hallo Fabian
    Wie bescheiden.😎
    Dein Let's Encrypt Modul wäre doch auch eine Lösung?

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Oder in 6.6.0.20 über das Web-Interface :)


    Am 4.4.2019 habe ich auf das Ticket 6922198 die Info bekommen, dass Wildcard Zertifikate definitv nicht über das Web-Interface eingespielt werden können....


    Und über SSH : Possible , but not supportet !


    Allerdings funktioniert jetzt der Normale Import eines Einzel-Zertifikats über die Web-Gui mit 6.6.0.20 tatsächlich...

    Viele Grüße,


    Martin Meier
    Sigma-IT GmbH


    STARFACE Excellence Partner


  • Hallo Fabian,


    danke für deine Hilfe, mit KeyStore Explorer hab ich es dann tatsächlich hinbekommen das Zertifikat in den Keystore zu importieren.
    Hast du vielleicht auch eine Idee wie ich den Webserver jetzt dazu bekomme dieses Zertifikat auch zu benutzen und nicht mehr das selbst Signierte.
    Sträube mich noch etwas davor das selbst signierte Zertifikat aus dem Keystore zu löschen.


    Insgesamt finde ich es ziemlich enttäuschend wie wenig Support Starface an der Stelle liefert. Nachdem ich mich jetzt etwas mit der Materie auseinandergesetzt habe sind mir gleich mehrere Fehler in der von Starface zur verfügung gestellten Anleitung aufgefallen.
    Dann doch einfach lieber gar nicht Supporten anstatt sowas.


    Gruß,
    chris

  • Hallo Chris


    Der Eintrag "Tomcat" muss zwingend aus dem Keystore gelöscht werden bzw. durch dein Zertifikat ersetzt werden, sonst lädt er dieses immer wieder.


    Wenn du eine Kopie vom Keystore machst, kannst du ihn im Notfalls wieder einspielen, und anschliessend Rebooten. Das ist immer das erste, was ich mache, bevor ich mit dem Keystore experimentiere.


    MfG


    Fabian


  • Insgesamt finde ich es ziemlich enttäuschend wie wenig Support Starface an der Stelle liefert. Nachdem ich mich jetzt etwas mit der Materie auseinandergesetzt habe sind mir gleich mehrere Fehler in der von Starface zur verfügung gestellten Anleitung aufgefallen.
    Dann doch einfach lieber gar nicht Supporten anstatt sowas.


    Welche Anleitung von STARFACE? Das hier beschriebene Szenario ist doch kein supporteter Weg.
    Hier ist der von STARFACE vorgesehene Weg beschrieben: https://knowledge.starface.de/…er+STARFACE+konfigurieren


    Im Forum finden sich haufenweise Hinweise darauf, wie man es sauber und richtig macht, aber dazu muß das Zertifikat originär auf der STARFACE erzeugt werden. Nur so hat die Anlage den Private Key und das ganze Gefummel mit KeyStores entfällt.


    Das Problem ist aber, dass die Leute immer erst machen und dann lesen. Deshalb kommt es zu "Mimimi, ich hab jetzt aber schon ein fertiges Zertifikat und will kein Neues".

  • Hallo Chris!


    Nachdem ich mich jetzt etwas mit der Materie auseinandergesetzt habe sind mir gleich mehrere Fehler in der von Starface zur verfügung gestellten Anleitung aufgefallen.


    Ich gehe davon aus das es um die Anleitung geht, die wir dir am 04.04 zugesandt haben.
    Ich habe den Standardtext mal in MD formatiert und hier hochgeladen: https://gist.github.com/sf-jan…efbdddfef73d417664bebdc8c Das Wording und die Befehle sind unverändert.


    Kannst du mir zeigen was hier aus technischer Sicht unklar oder falsch ist?


    Dann doch einfach lieber gar nicht Supporten anstatt sowas.


    Streng genommen machen wir das auch nicht. Wir geben halt die Anleitung eben bei Bedarf raus. Ich werde dein Feedback gerne weiterleiten.

    Viele Grüße
    Niklas


    - Ex STARFACE Support: 2014-2020 -

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!