Java e x509

[Mario Alexandro Santini]

Ciao a tutti,

so che siamo prossimi alle feste, ma io ci provo lo stesso.

Il mio problema è il seguente.

Sto installando una webapp su Tomcat che utilizza un CAS Server per l'autenticazione.

Il problema è che il server che ho non ha un nome DNS e quindi sono costretto ad utilizzare l'indirizzo IP.

Questo è un problema, perché java controlla la presenza dell'indirizzo nel certificato solo nei nomi alternativi e non in quello principale.

Il famoso keytool di java non produce una richiesta di certificato che permetta di inserire i nomi alternativi nel certificato.

Per risolvere questo problema ho prodotto il certificato utilizzando openssl.

Ho trovato una classe java che forgia un keystore a partire dalla chiave privata e pubblica.

Il mio problema è il seguente.

Ho creato con openssl una ca che utilizzo per evitare il self-signed.

Riesco a generare una richiesta che incorpora i nomi alternativi.

Ma quando controllo il certificato firmato, non ritrovo i nomi alternativi.

openssl 0.9.8k 25 Mar 2009

Il comando che uso per la firma:

openssl ca -policy policy_anything -in newreq.pem -out newcert.pem

Avete qualche suggerimento in proposito?

L'unica cosa che non posso fare è avere un nome DNS valido. :(

--
Ciao,
      Mario

[Nicola Pedot]

Ciao Mario,

per meglio capire, che son di testa dura,

il tuo problema è che questo

http://docs.oracle.com/javase/1.4.2/docs/api/java/security/cert/X509Certificate.html#getIssuerAlternativeNames()

ritorna lista vuota anche se tu sai che i valori ci sono?

NiPe

2011/12/22 Mario Alexandro Santini <alexm...@gmail.com>

--
Ciao,
      Mario

--
Hai ricevuto questo messaggio perché sei iscritto al gruppo "jugtrento" di Google Gruppi.
Per postare messaggi in questo gruppo, invia un'email a jugt...@googlegroups.com.
Per annullare l'iscrizione a questo gruppo, invia un'email a jugtrento+...@googlegroups.com.
Per ulteriori opzioni, visita il gruppo all'indirizzo http://groups.google.com/group/jugtrento?hl=it.

[Mario Alexandro Santini]

2011/12/22 Nicola Pedot <nicola...@gmail.com>

Ciao Mario,

per meglio capire, che son di testa dura,

il tuo problema è che questo

http://docs.oracle.com/javase/1.4.2/docs/api/java/security/cert/X509Certificate.html#getIssuerAlternativeNames()

ritorna lista vuota anche se tu sai che i valori ci sono?

NiPe

Ciao Nicola,

non proprio.

I certificati che ho realizzato inizialmente erano privi della lista di alternative names.

So che keytool non permette di farlo, almeno da quanto ho trovato in giro.

Cercavo di capire se il modo in cui ho prodotto il certificato e l'ho firmato è corretto o no.

Oppure un tool che mi permetta di fare un certificato corretto dal punto di vista della lista di nomi alternativi, in modo da poter utilizzare anche l'ip address.

--
Ciao,
      Mario

[Mario Alexandro Santini]

Ciao Nicola,

non proprio.

I certificati che ho realizzato inizialmente erano privi della lista di alternative names.

So che keytool non permette di farlo, almeno da quanto ho trovato in giro.

Cercavo di capire se il modo in cui ho prodotto il certificato e l'ho firmato è corretto o no.

Oppure un tool che mi permetta di fare un certificato corretto dal punto di vista della lista di nomi alternativi, in modo da poter utilizzare anche l'ip address.

Ciao,

mi rispondo da solo.

Ho scoperto che anche per firmare un certificato occorre inserire nella configurazione di openssl la lista dei nomi alternativi.

Nel file di configurazione c'è una sezione usr_cert dove inserire subjectAltName=...

Ora sono riuscito a creare il mio certificato.

Con queste istruzioni dovrei riuscirci:

http://www.agentbob.info/agentbob/79-AB.html

Domani provo e speriamo!

Certo, questo problema degli indirizzi IP in Java è una vera scocciatura, specialmente per chi non ha modo di configurare un DNS sulla propria rete.
:(

--
Ciao,
      Mario

[Nicola Pedot]

Ciao Mario,
restiamo sintonizzati,

NIPe

2011/12/22 Mario Alexandro Santini <alexm...@gmail.com>

--
Ciao,
      Mario

--