Как создать хранилище сертификатов VeriSign с помощью OpenSSL?

Question

[XoJIoD]

Добрый день.

Имеется три файла: запрос сертификата, приватный ключ и сам сертификат, подписанный VeriSign. Мне необходимо добавить это всё в Java Key Store, чтобы использовать в Tomcat-приложении. Проблема в том, что запрос был выписан с помощью OpenSSL, а keytool, похоже, не умеет импортировать ключи. Поэтому решил сначала экспортировать сертификат в хранилище формата PKCS12 с помощью OpenSSL, а потом импортировать это хранилище в Java Key Store. Но вот незадача — когда пытаюсь экспортировать сертификат в хранилище с созданием цепочки (chain) с помощью команды
openssl pkcs12 -export -in certificate.cer -inkey key.pem -out keystore.p12 -chain -CAfile ca.pem
(файл ca.pem содержит оба intermediate-сертификата VeriSign, а также все pem-файлы корневых серверов VeriSign, которые нашёл в архиве roots.zip на их сайте)
получаю сообщение об ошибке:
Error unable to get local issuer certificate getting chain.
Также пробовал добавлять intermediate-сертификаты в директорию /etc/ssl/certs/ с созданием правильных симлинков (имя файла симлинка = хеш сертификата + .0), ошибка не исчезла.
Подскажите, какой сертификат и куда надо добавить, чтобы команда выполнилась?

P.S. значение Issuer сертификата:
Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at www.verisign.com/rpa ©10, CN=VeriSign Class 3 International Server CA — G3

Answer 1

[XoJIoD]

Прошу прощения, не вставилось значение Issuer:
Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at www.verisign.com/rpa ©10, CN=VeriSign Class 3 International Server CA — G3

Answer 2

[Maximus43]

Все просто. В PKCS12 не надо вставлять цепочку сертификатов. Это можно сделать на этапе формирования JKS.
Создать PKCS12:
openssl pkcs12 -export -in webserver.cer -inkey webserver.pem -out webserver.p12
Создаем хранилище сертификатов JKS и импортируем туда наши данные
# keytool -v -importkeystore -srckeystore webserver.p12 -srcstoretype PKCS12 -destkeystore tomcat.jks -deststoretype JKS
Копируем сертификат внешнего CA (назовем его CA_cert.cer)
# scp<источник>:CA_cert.cer .
Устанавливаем его в оба локальных хранилища
# keytool -import -alias cacert-file CA_cert.cer -keystore tomcat.jks
# keytool -import -trustcacerts -file CA_cert.cer -keystore truststore.jks -storepass <пароль для JKS> -alias externalca
Присваиваем права доступа
# chmod +x *.jks

Все.

Comments

[XoJIoD]

А дальше? Зачем нужно создавать два JKS? Я пробовал так: сначала импортировал в JKS оба intermediate-сертификата VeriSign, потом создавал PKCS12 с моим сертификатом, но без ключа -chain, и импортировал этот PKCS12 в JKS. При этом томкат грузился и все браузеры под линуксом (как минимум фф и chromium) принимали эти сертификаты. А вот firefox под windows отказался принимать, аргументируя это сообщением типа «нет цепочки сертификатов». И действительно, keytool -v -list показывало Chain length: 1, а должно быть 4

[Maximus43]

truststore.jks необходим для клиентской аутентификации по сертификату. Если у вас нет такой задачи, тогда опустите эту настройку.
Если вы все делаете правильно, а именно добавляете в tomcat.jks (из примера) сначала p12, а потом всю цепочку сертификатов от издающего до корневого, то все должно работать. И keytool -v -list -keystore tomcat.jks должен показывать Your keystore contains 4 entries… Chain length: 4.
Сервер шлет всю цепочку сертификатов клиенту, если у него есть эти данные. И клиент проверяет только корневой сертификат, а потом сверяет листы отзыва во всей цепочке.
Если промежуточные сертификаты имеют расширение AIA caIssuer, и ссылки действительные, то клиент может выкачать промежуточные сертификаты самостоятельно. Видимо не все браузеры это умеют делать.
Поэтому надо настраивать сервер так, чтобы он выдавал всю цепочку сразу.

[XoJIoD]

Сейчас попробовал следующее:
$ rm ~/.keystore
$ openssl pkcs12 -export -in certificate.pem -inkey key.pem -out keystore.p12
$ keytool -v -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -alias 1 -destalias tomcat
$ keytool -import -trustcacerts -alias primaryIntermediate -file first.pem
Certificate was added to keystore
$ keytool -import -trustcacerts -alias secondaryIntermediate -file second.pem
Certificate was added to keystore

keytool -v -list показывает chain length 1

[Maximus43]

Ну а корневой сертификат где?
primaryIntermediate выше в цепочке secondaryIntermediate или ниже?
Зачем используется параметр -destalias tomcat? Это что такое?
Вы явно не указываете keystore, поэтому могут быть разногласия при добавлении. Указывайте все явно в параметрах.

[Maximus43]

Хе, сейчас заметил, что вы сертификаты CA добавляете с параметром -trustcacerts. Это неправильно для обычного JKS. Надо добавлять как я писал выше:
keytool -import -alias cacert-file CA_cert.cer -keystore tomcat.jks
Если будете создавать truststore, тогда -trustcacerts нужен, но не путайте одно с другим.

[XoJIoD]

Secondary в выводе keytool находится выше. -destalias tomcat — алиас в JKS, в который импортруется сертификат, пробовал без него — то же самое. Если не указывать -trustcacerts, то он все равно спрашивает Trust this certificate? и, если ответить no, не добавляет его в хранилище. А какой сертификат будет корневым (http://www.verisign.com/support/roots.html)? Делал по этой инструкции: knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR234

[Maximus43]

Какая же там мутная инструкция. Как будто специально хотели людей запутать, чтобы к ним за платной поддержкой обращались :-)
Меня интересует на каком месте находятся primaryIntermediate и secondaryIntermediate в цепочке сертификатов, а не в выводе keytool.
Скопируйте сюда ваш серверный сертификат в формате BASE64, я вам все скажу что и как. Сертификат — это открытый ключ, поэтому никакой конфиденциальной информации вы не потеряете.

[XoJIoD]

Отправил на почту

[Maximus43]

Вот ваш рут — www.tbs-certificats.com/FAQ/en/599.html

Я позволю себе привести тут все сертификаты CA в цепочке

Корневой:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Издающий C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at www.verisign.com/rpa ©10, CN=VeriSign Class 3 International Server CA — G3

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

У вас всего два центра сертификации в цепочке сертификатов. Странно, что у конечного сертификата нет расширения X509v3 Authority Key Identifier.

Копируйте приведенные сертификаты в файлы (root_cert.cer и ca_cert.cer), потом выполните:

# keytool -v -importkeystore -srckeystore webserver.p12 -srcstoretype PKCS12 -destkeystore tomcat.jks -deststoretype JKS
# keytool -import -alias cacert-file ca_cert.cer -keystore tomcat.jks
# keytool -import -alias cacert-file root_cert.cer -keystore tomcat.jks
# chmod +x *.jks

Это если создавать JKS для сервлета. Для поддержки SSL в Apache все можно сделать без иcпользования JKS.

[XoJIoD]

$ openssl pkcs12 -export -in certificate_new.pem -inkey KEY.pem -out keystore.p12
$ keytool -v -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -keystore keystore
$ keytool -import -alias ca -file ca.cer -keystore keystore
$ keytool -import -alias root -file root.cer -keystore keystore

Certificate chain length: 1 :(

[XoJIoD]

Во второй команде -keystore читать как -destkeystore

Answer 3

[Maximus43]

Походу это из-за отсутствия расширения Authority Key Identifier. keytool просто не может связать конечный сертификат с выпускающим CA. В Windows CryptoAPI есть несколько типов сопоставления издателя: через Authority Key Identifier, через Issuer's DN и т.п. Поэтому в Windows такой сертификат может и заработает, но нет гарантии. Вот что пишет по поводу Authority Key Identifier стандарт RFC 5280:

The keyIdentifier field of the authorityKeyIdentifier extension MUST
be included in all certificates generated by conforming CAs to
facilitate certification path construction. There is one exception;
where a CA distributes its public key in the form of a «self-signed»
certificate, the authority key identifier MAY be omitted. The
signature on a self-signed certificate is generated with the private
key associated with the certificate's subject public key. (This
proves that the issuer possesses both the public and private keys.)
In this case, the subject and authority key identifiers would be
identical, but only the subject key identifier is needed for
certification path building.

У вас сертификат содержит следующие расширения:

X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 CRL Distribution Points:

Full Name:
URI:http://SVRIntl-G3-crl.verisign.com/SVRIntlG3.crl

X509v3 Certificate Policies:
Policy: 2.16.840.1.113733.1.7.23.3
CPS: www.verisign.com/rpa

X509v3 Extended Key Usage:
Netscape Server Gated Crypto, TLS Web Server Authentication, TLS Web Client Authentication
Authority Information Access:
OCSP - URI:http://ocsp.verisign.com
CA Issuers - URI:http://SVRIntl-G3-aia.verisign.com/SVRIntlG3.cer

1.3.6.1.5.5.7.1.12:
0`.^.\0Z0X0V..image/gif0!0.0...+......Kk.(.....R8.).K..!..0&.$http://logo.verisign.com/vslogo1.gif

Не хватает

X509v3 Authority Key Identifier:
keyid:D7:9B:7C:D8:22:A0:15:F7:DD:AD:5F:CE:29:9B:58:C3:BC:46:00:B5

Вот такие у меня мысли.

Comments

[XoJIoD]

А есть какие-нибудь утилиты, неважно под какую ОС, которые могут создать конвертируемое в JKS хранилище с цепочкой? Быть может можно как-то указать openssl чтобы он игнорировал «отсутствие» сертификата подписчика?

Answer 4

[Maximus43]

А вам именно JKS надобно? Или цель просто настроить SSL под Apache? Просто для SSL не обязательно использовать JKS.
И вообще проблема лежит несколько в другой плоскости. Для сопоставления издателя и конечного сертификата используют раздичные способы: Exact match, Key match, Name match. Первые два способа требуют расширение Authority Key Identifier. Значит остается только Name match. Похоже, что keytool строить цепочки в режиме Name match не умеет. Следовательно от JKS ничего не зависит, надо подкручивать клиета, использующего JKS таким образом, чтобы он смог построить всю цепочку от начала до конца.

Comments

[XoJIoD]

Надо просто чтобы этот сертификат можно было поставить в HTTPS на Tomcat'e

[Maximus43]

Тогда настраивайте APR.
Чтобы вся цепочка отдавалась клиенту не забудьте склеить все сертификаты в файл для параметра SSLCertificateFile:

< — Define a SSL Coyote HTTP/1.1 Connector on port 443 -->

[Maximus43]

<Connector
port=«443» maxThreads=«200»
scheme=«https» secure=«true» SSLEnabled=«true»
SSLCertificateFile="/usr/local/ssl/server.crt"
SSLCertificateKeyFile="/usr/local/ssl/server.pem"
clientAuth=«optional» SSLProtocol=«TLSv1»/>
-->