Zertifikate in Keystores importieren

== Root- und Intermediate Zertifikat in Java-TrustStore importieren ==

Für bestimmte Konstellation, zum Beispiel bei der [[Anbindung eines LDAP-Servers>>doc:Formcycle.UserInterface.UserSettings.LDAP]], kann es nötig sein, das Root-Zertifikat oder das Root- und das Intermediate-Zertifikat, mit denen das Zertifikat des anderen Servers erstellt wurde, im Java-TrustStore zu importieren.

6

7

=== Java TrustStore ===

8

9

Der Java-TrustStore beinhaltet alle Root-Zertifikate, denen eine Java-Installation vertraut. Hierbei ist zu beachten, dass bei System, auf denen mehrere Java-Versionen installiert sind, der TrustStore des Javas verwendet wird, welches der Application Servers nutzt, der {{formcycle/}} ausführt. Ein voller Pfad kann zum Beispiel wie folgt aussehen:

10

11

12

"C:\Program Files\AdoptOpenJDK\jdk-11.0.9.101-hotspot\lib\security\cacerts"

13

14

15

Weiterhin ist zu beachten, dass je nach Betriebssystemumgebung und Installationsart und -typ des eingesetzten Javas der Pfad deutlich anders sein kann. Insbesondere unter Linux wird aus dem Java-Installationsordner zum Teil nur mit einem Symbolischen Link auf die echte Position des TrustStores verwiesen. Der Dateiname des TrustStores ist üblicherweise {{code language="none"}}cacerts{{/code}}.

16

17

Sofern keine Änderung am Passwort vorgenommen wurde, wird für den Java-TrustStore in den meisten Umgebungen das Standard-Passwort {{code language="none"}}changeit{{/code}} verwendet.

18

19

Im folgenden wird auf zwei Wege eingegangen, mit denen Root- und Intermediate-Zertifikate in den TrustStore einer Java-Installation importiert werden können.

20

21

=== Import mit keytool ===

22

23

Hierzu wird das Tool //keytool// verwendet, welches normalerweise von der verwendeten Java-Installation im //bin//-Verzeichnis bereitgestellt wird.

24

25

Beim Aufruf des Tools werden die folgenden Parameter verwendet, welche an die eigene Umgebung angepasst werden müssen:

26

27

; "Aliasname des Zertifikats"

28

: Im TrustStore verwendeter Alias für das Zertifikat. Dieses kann frei gewählt werden, es darf nur nicht bereits ein anderes Zertifikat mit gleicham Alias im TrustStore geben.

29

; "Zertifikat.cer"

30

: Name vom (und gegebenenfalls Pfad zum) zu importierenden Zertifikat

31

; "Pfad-Zum-Zertifikatsstore"

32

: Voller Pfad zum [[Java TrustStore>>doc:||anchor="HJavaTrustStore"]]

33

34

Der auszuführende Befehl lautet:

35

36

37

keytool -importcert -trustcacerts -alias "Aliasname des Zertifikats" -file "Zertifikat.cer" -keystore "Pfad-Zum-Zertifikatsstore"

38

39

40

=== Import mit dem KeyStore Explorer ===

41

42

Der //KeyStore Explorer// ist ein unter Java laufendes graphisches Tool zum Erstellen und Bearbeiten von Keystores verschiedener Arten. Zu beachten ist, dass der //KeyStore Explorer// mit ausreichenden Rechten gestartet werden muss, um auf den TrusStore lesend und schreibend zugreifen zu können. Nachdem der //KeyStore Explorer// gestartet wurde, müssen die folgenden Schritte durchgeführt werden:

43

44

Zuerst muss der TrustStore im //KeyStore Explorer// geöffnet werden. Dies erfolgt über die Schaltfläche //Schlüsselspeicher öffnen//:

45

46

[[image:TrustStore_KeyStore_Explorer_1.png]]

47

48

49

In dem sich daraufhin öffnenden Dialog muss der zu verwendende TrustStore ausgewählt werden. danach öffnet sich ein weiterer Dialog, in dem das Passwort des TrustStores eingegeben werden muss:

50

51

[[image:TrustStore_KeyStore_Explorer_2.png]]

52

53

54

Anschließend wird im //KeyStore Explorer// eine Liste mit allen im TrustStore enthaltenen Zertifikaten angezeigt. Jetzt muss im Menü über //Werkzeuge {{rarrow/}} Vertrauenswürdiges Zertifikat importieren// angeklickt werden und in dem sich danach öffnenden Dialog das Zertifikat gewählt werden, welches importiert werden soll:

55

56

[[image:TrustStore_KeyStore_Explorer_3.png]]

57

58

59

Anschließend öffnet sich ein Dialog, in dem der Aliasname eingegeben werden muss, unter welchem das Zertifikat im TrustStore hinterlegt wird, wobei die wesentlich Anforderung an diesen Alias ist, dass es nicht bereits ein anderes Zertifikat im TrustStore gibt, welches den gleichen Alias verwendet:

60

61

[[image:TrustStore_KeyStore_Explorer_4.png]]

62

63

64

Danach sollte die Meldung erscheinen, dass das Zertifikat erfolgreich importiert wurde. Jetzt müssen die Änderungen am Truststore lediglich noch gespeichert werden, was über das //Speichern//-Symbol in der Oberfläche oder über das Menü unter //Datei {{rarrow/}} Speichern// erfolgt. Falls sich an dieser Stelle herausstellen sollte, dass der //KeyStore Explorer// keine Schreibrechte für den TrustStore besitzt, kann dieser zunächst über die Menüoption //Datei {{rarrow/}} Speichern unter// an eine andere Stelle gespeichert werden und dann von einem Nutzer mit den entsprechenden Rechten manuell an die richtige Stelle verschoben werden.

65

66

=== Import von Intermediate-Zertifikaten ===

67

68

Wenn das Zertifikat, welchem vertraut werden soll, über ein Intermediate-Zertifikat ausgestellt wurde, muss dieses gegebenenfalls auch importiert werden. Das ist genau dann nötig, wenn dieses Intermediate-Zertifikat nicht vom Server bereitgestellt wird, mit dem die Verbindung aufgebaut werden soll. Der Import erfolgt analog zum Root-Zertifikat mit den obenstehenden Anleitungen und ensprechend angepassten Parametern für Alias und den Dateinamen bzw. Pfad des Intermediate-Zertifikats.

Wiki-Quellcode von Zertifikate in Keystores importieren

Navigation

author	version	line-number	content
		1	{{content/}}
		2
		3	== Root- und Intermediate Zertifikat in Java-TrustStore importieren ==
		4
		5	Für bestimmte Konstellation, zum Beispiel bei der [[Anbindung eines LDAP-Servers>>doc:Formcycle.UserInterface.UserSettings.LDAP]], kann es nötig sein, das Root-Zertifikat oder das Root- und das Intermediate-Zertifikat, mit denen das Zertifikat des anderen Servers erstellt wurde, im Java-TrustStore zu importieren.
		6
		7	=== Java TrustStore ===
		8
		9	Der Java-TrustStore beinhaltet alle Root-Zertifikate, denen eine Java-Installation vertraut. Hierbei ist zu beachten, dass bei System, auf denen mehrere Java-Versionen installiert sind, der TrustStore des Javas verwendet wird, welches der Application Servers nutzt, der {{formcycle/}} ausführt. Ein voller Pfad kann zum Beispiel wie folgt aussehen:
		10
		11	{{code language="none"}}
		12	"C:\Program Files\AdoptOpenJDK\jdk-11.0.9.101-hotspot\lib\security\cacerts"
		13	{{/code}}
		14
		15	Weiterhin ist zu beachten, dass je nach Betriebssystemumgebung und Installationsart und -typ des eingesetzten Javas der Pfad deutlich anders sein kann. Insbesondere unter Linux wird aus dem Java-Installationsordner zum Teil nur mit einem Symbolischen Link auf die echte Position des TrustStores verwiesen. Der Dateiname des TrustStores ist üblicherweise {{code language="none"}}cacerts{{/code}}.
		16
		17	Sofern keine Änderung am Passwort vorgenommen wurde, wird für den Java-TrustStore in den meisten Umgebungen das Standard-Passwort {{code language="none"}}changeit{{/code}} verwendet.
		18
		19	Im folgenden wird auf zwei Wege eingegangen, mit denen Root- und Intermediate-Zertifikate in den TrustStore einer Java-Installation importiert werden können.
		20
		21	=== Import mit keytool ===
		22
		23	Hierzu wird das Tool //keytool// verwendet, welches normalerweise von der verwendeten Java-Installation im //bin//-Verzeichnis bereitgestellt wird.
		24
		25	Beim Aufruf des Tools werden die folgenden Parameter verwendet, welche an die eigene Umgebung angepasst werden müssen:
		26
		27	; "Aliasname des Zertifikats"
		28	: Im TrustStore verwendeter Alias für das Zertifikat. Dieses kann frei gewählt werden, es darf nur nicht bereits ein anderes Zertifikat mit gleicham Alias im TrustStore geben.
		29	; "Zertifikat.cer"
		30	: Name vom (und gegebenenfalls Pfad zum) zu importierenden Zertifikat
		31	; "Pfad-Zum-Zertifikatsstore"
		32	: Voller Pfad zum [[Java TrustStore>>doc:\|\|anchor="HJavaTrustStore"]]
		33
		34	Der auszuführende Befehl lautet:
		35
		36	{{code}}
		37	keytool -importcert -trustcacerts -alias "Aliasname des Zertifikats" -file "Zertifikat.cer" -keystore "Pfad-Zum-Zertifikatsstore"
		38	{{/code}}
		39
		40	=== Import mit dem KeyStore Explorer ===
		41
		42	Der //KeyStore Explorer// ist ein unter Java laufendes graphisches Tool zum Erstellen und Bearbeiten von Keystores verschiedener Arten. Zu beachten ist, dass der //KeyStore Explorer// mit ausreichenden Rechten gestartet werden muss, um auf den TrusStore lesend und schreibend zugreifen zu können. Nachdem der //KeyStore Explorer// gestartet wurde, müssen die folgenden Schritte durchgeführt werden:
		43
		44	Zuerst muss der TrustStore im //KeyStore Explorer// geöffnet werden. Dies erfolgt über die Schaltfläche //Schlüsselspeicher öffnen//:
		45
		46	[[image:TrustStore_KeyStore_Explorer_1.png]]
		47
		48
		49	In dem sich daraufhin öffnenden Dialog muss der zu verwendende TrustStore ausgewählt werden. danach öffnet sich ein weiterer Dialog, in dem das Passwort des TrustStores eingegeben werden muss:
		50
		51	[[image:TrustStore_KeyStore_Explorer_2.png]]
		52
		53
		54	Anschließend wird im //KeyStore Explorer// eine Liste mit allen im TrustStore enthaltenen Zertifikaten angezeigt. Jetzt muss im Menü über //Werkzeuge {{rarrow/}} Vertrauenswürdiges Zertifikat importieren// angeklickt werden und in dem sich danach öffnenden Dialog das Zertifikat gewählt werden, welches importiert werden soll:
		55
		56	[[image:TrustStore_KeyStore_Explorer_3.png]]
		57
		58
		59	Anschließend öffnet sich ein Dialog, in dem der Aliasname eingegeben werden muss, unter welchem das Zertifikat im TrustStore hinterlegt wird, wobei die wesentlich Anforderung an diesen Alias ist, dass es nicht bereits ein anderes Zertifikat im TrustStore gibt, welches den gleichen Alias verwendet:
		60
		61	[[image:TrustStore_KeyStore_Explorer_4.png]]
		62
		63
		64	Danach sollte die Meldung erscheinen, dass das Zertifikat erfolgreich importiert wurde. Jetzt müssen die Änderungen am Truststore lediglich noch gespeichert werden, was über das //Speichern//-Symbol in der Oberfläche oder über das Menü unter //Datei {{rarrow/}} Speichern// erfolgt. Falls sich an dieser Stelle herausstellen sollte, dass der //KeyStore Explorer// keine Schreibrechte für den TrustStore besitzt, kann dieser zunächst über die Menüoption //Datei {{rarrow/}} Speichern unter// an eine andere Stelle gespeichert werden und dann von einem Nutzer mit den entsprechenden Rechten manuell an die richtige Stelle verschoben werden.
		65
		66	=== Import von Intermediate-Zertifikaten ===
		67
		68	Wenn das Zertifikat, welchem vertraut werden soll, über ein Intermediate-Zertifikat ausgestellt wurde, muss dieses gegebenenfalls auch importiert werden. Das ist genau dann nötig, wenn dieses Intermediate-Zertifikat nicht vom Server bereitgestellt wird, mit dem die Verbindung aufgebaut werden soll. Der Import erfolgt analog zum Root-Zertifikat mit den obenstehenden Anleitungen und ensprechend angepassten Parametern für Alias und den Dateinamen bzw. Pfad des Intermediate-Zertifikats.