Windows Subsonic: SSL certificaat importeren

zaterdag 26 december 2015 23:57

Acties:

Topicstarter

Hallo,

Ik heb een subsonic server draaien op windows server 2012 R2
vroeger had ik hierbij een goede handleiding over hoe ik een ssl certificaat via startssl aan de loop krijg maar ik kom er nu helemaal niet meer uit

er is dan ook niet echt een simpele handleiding over te vinden op google heb 2 uur lang zitten zoeken maar zie nu door de bomen het bos niet meer

is hier toevallig iemand die dit voor elkaar heeft gekregen of tips voor mij heeft?

mvg. Raymond

zondag 27 december 2015 22:07

Acties:

webgangster

De eerste stap is denk ik het importeren van het certificaat op de server in de juiste bibliotheek.
Dit kun je doen door MMC te openen en daar Certificaatbeheer (computer) toe te voegen.

Misschien ook handig om aan te geven wat je zelf al hebt uitgevoerd en in welke stap je precies vastloopt.

maandag 28 december 2015 14:04

Acties:

sillverray

Topicstarter

Hallo webganster,

Wat ik al heb gedaan is een certificaat aangevraagd bij startssl en hier een password.txt, ssl.crt en ssl.key file van heb ontvangen

Deze heb ik nu geinporteerd in MMC met module Certificaten (lokale computer) in het mapje persoonlijk

maar nu vraagt subsonic dus om een java keystore waar ik dus niks van snap

mvg. Raymond

maandag 28 december 2015 14:19

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik ken Subsonic niet, maar Google vertelt me dat het Jetty gebruikt. Geen IIS. Klopt dat? Dan dus zoeken op 'Jetty startssl'. Of beter geen startssl maar SSL certificate, oid.

Als je bijv ook IIS gebruikt: [google=subsonic install ssl certificate iis] -> https://mattlapaglia.com/?p=10 bijvoorbeeld.
Geef dat soort info en info over waar je vastloopt ajb voortaan in de topicstart, het leek nu nogal alsof je alleen de vraag over de muur gooide

Edit: titel aangepast. 'voor noobs': een noob is iemand die geen handleiding wil lezen en geen moeite wil doen. Als dat het geval is dan ga ik het topic sluiten. Die eigen inzet verwachten we namelijk duidelijk wel

[ Voor 25% gewijzigd door F_J_K op 28-12-2015 14:33 . Reden: O-) ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 28 december 2015 15:51

Acties:

sillverray

Topicstarter

Nee het programma gebruikt geen IIS het is gewoon een programma wat op zichzelf loopt en 2 poorten gebruikt om daar de webpaginas mee te hosten 1 poort voor non ssl en 1 poort voor een ssl verbinding alleen het certificaat moet blijkbaar in een java keystore gezet worden in een eerdere versie van het programma kon je gewoon de .crt en .key file ingeven nu wil dat niet meer
maar ik zal eens even op zoek gaan

maandag 28 december 2015 15:56

Acties:

Umbrah

The Incredible MapMan

Het lijkt Jetty te gebruiken als webserver, het is een gewone java webapp. Zoeken op Jetty + SSL brengt me hier naar toe:

https://wiki.eclipse.org/Jetty/Howto/Configure_SSL

Al gekeken?

maandag 28 december 2015 15:57

Acties:

marti-n

http://www.subsonic.org/pages/getting-started.jsp
Onderaan de pagina staat al wat uitleg over de keystore op Windows, verder zijn er voor Linux allerlei guides beschikbaar, misschien dat je daar wat informatie uit kan halen?

EDIT: Verder is hier iemand die ongeveer hetzelfde wil doen, maar dan icm een bestaande ubuntu omgeving, wellicht dat je die als een VM zou kunnen installeren om tijdelijk te gebruiken om de juiste bestanden te krijgen.
http://forum.madsonic.org/viewtopic.php?f=14&t=411

[ Voor 37% gewijzigd door marti-n op 28-12-2015 16:00 ]

maandag 28 december 2015 16:04

Acties:

sillverray

Topicstarter

Umbrah schreef op maandag 28 december 2015 @ 15:56:
Het lijkt Jetty te gebruiken als webserver, het is een gewone java webapp. Zoeken op Jetty + SSL brengt me hier naar toe:

https://wiki.eclipse.org/Jetty/Howto/Configure_SSL

Al gekeken?

Deze link geeft wel aan hoe je een keystore maakt dus ga de programmas er even bij zoeken het enige probleem wat ik op windows ondervind is dat ik geen openssl commandos kan geven

marti-n schreef op maandag 28 december 2015 @ 15:57:
http://www.subsonic.org/pages/getting-started.jsp
Onderaan de pagina staat al wat uitleg over de keystore op Windows, verder zijn er voor Linux allerlei guides beschikbaar, misschien dat je daar wat informatie uit kan halen?

EDIT: Verder is hier iemand die ongeveer hetzelfde wil doen, maar dan icm een bestaande ubuntu omgeving, wellicht dat je die als een VM zou kunnen installeren om tijdelijk te gebruiken om de juiste bestanden te krijgen.
http://forum.madsonic.org/viewtopic.php?f=14&t=411

dat zou wel een idee zijn om dan ubuntu even in vmware te zetten misschien dat ik openssl daar wel aan de praat krijg

ik laat het nog weten ga even aan het stoeien ermee

maandag 28 december 2015 16:08

Acties:

marti-n

sillverray schreef op maandag 28 december 2015 @ 16:04:
[...]

Deze link geeft wel aan hoe je een keystore maakt dus ga de programmas er even bij zoeken het enige probleem wat ik op windows ondervind is dat ik geen openssl commandos kan geven

[...]

dat zou wel een idee zijn om dan ubuntu even in vmware te zetten misschien dat ik openssl daar wel aan de praat krijg

ik laat het nog weten ga even aan het stoeien ermee

Je kan altijd OpenSSL voor windows nog downloaden, maar ik durf niet te zeggen of dat lukt natuurlijk

maandag 4 januari 2016 20:25

Acties:

sillverray

Topicstarter

Even een update tussendoor heb een virtuele linux (ubuntu server) met desktop omgeving en ben nu aan het uitvogelen hoe openssl werkt

Mvg. Raymond

maandag 4 januari 2016 23:02

Acties:

sillverray

Topicstarter

Nog even weer een update ik heb het certificaat erin zitten maar op een of andere manier pakt alleen firefox (uitgerekend de browser die ik het meest gebruik) het certificaat niet goed de foutmelding luidt als volgt

server.domein.nl:4443 gebruikt een ongeldig beveiligingscertificaat. Het certificaat wordt niet vertrouwd, omdat het uitgeverscertificaat onbekend is. De server stuurt mogelijk niet de juiste tussencertificaten. Mogelijk dient een extra basiscertificaat te worden geïmporteerd. (Foutcode: sec_error_unknown_issuer)

en deze is toch echt bij startcom (www.startssl.com) ondertekend

hier graag nog een beetje hulp in de goeie richting

Mvg. Raymond

dinsdag 5 januari 2016 07:10

Acties:

Equator

Crew Council

#whisky #barista

Maar de foutmelding is duidelijk.. "De server stuurt mogelijk niet de juiste tussencertificaten."

Je Certificaat is waarschijnlijk ondertekend door een zogeheten intermediate Certification Authority welke op zich zelf is ondertekend door StartCom.

Je kan dit controleren door het certificaat eens te openen in Windows (dubbelklikken en het tabje Certificeringspad te bekijken). Met OpenSSL kan je het bekijken met het commando:

openssl x509 -in <certfile> -noout -text

Kijk dan naar "Issuer"

Firefox wil blijkbaar de volledige keten controleren en verwacht dat dus ook eventuele tussenliggende certificaten worden meegestuurd.

Best practice is ook om alle certificaten mee te sturen vanuit de Server. Dus Root CA Certificaat, alle tussenliggende intermediate CA certificaten en het uiteindelijke server certificaat.

[ Voor 24% gewijzigd door Equator op 05-01-2016 07:11 ]

dinsdag 5 januari 2016 14:40

Acties:

sillverray

Topicstarter

Equator schreef op dinsdag 05 januari 2016 @ 07:10:
Maar de foutmelding is duidelijk.. "De server stuurt mogelijk niet de juiste tussencertificaten."

Je Certificaat is waarschijnlijk ondertekend door een zogeheten intermediate Certification Authority welke op zich zelf is ondertekend door StartCom.

Je kan dit controleren door het certificaat eens te openen in Windows (dubbelklikken en het tabje Certificeringspad te bekijken). Met OpenSSL kan je het bekijken met het commando:
openssl x509 -in <certfile> -noout -text
Kijk dan naar "Issuer"

Firefox wil blijkbaar de volledige keten controleren en verwacht dat dus ook eventuele tussenliggende certificaten worden meegestuurd.

Best practice is ook om alle certificaten mee te sturen vanuit de Server. Dus Root CA Certificaat, alle tussenliggende intermediate CA certificaten en het uiteindelijke server certificaat.

Hallo Equator ik heb doormiddel van deze handleiding http://forum.madsonic.org/viewtopic.php?f=14&t=411 het certificaat in een java keystore gekregen nu heb ik het intermediate certificaat erbij toegevoegd via het windows programma Portecle (zie plaatje onderaan) maar als ik nu de website open heb ik nog steeds dezelfde foutmelding

Link naar plaatje https://onedrive.live.com...lM&v=3&ithint=photo%2cpng

dinsdag 5 januari 2016 14:43

Acties:

Equator

Crew Council

#whisky #barista

Ik ken de Java Keystore niet, maar in Windows is er een aparte keystore voor de intermediate CA certificates.

Edit:
Nee dus. Zelfde keystore, maar moet wel een eigen alias hebben

quote: http://www.thawte.nl/nl/o...erver/keytool+opdrachten/
Importeer een root of intermediate certificaat in een bestaande Java keystore
keytool -import -trustcacerts -alias root -file Thawte.crt -keystore keystore.jks

Voor een intermediate zou het dan zijn:

keytool -import -trustcacerts -alias intermediateCA -file ThawteIntermediate.crt -keystore keystore.jks

Daarbij heb ik dus een andere alias gegeven aan de intermediate CA certificaat.

[ Voor 83% gewijzigd door Equator op 05-01-2016 14:49 ]

donderdag 7 januari 2016 07:17

Acties:

Equator

Crew Council

#whisky #barista

En, is dit nu gelukt?

Als ik je plaatje bekijk, denk ik dat je nu wel de intermediate CA er in heb zitten (De StartCom Class 1 DV server CA) maar dat je de root er nog niet in heb zitten.

Download hier het Root CA Certificaat van StartCom.
Plaats dit in C:\Temp\
Voer het commando uit:

keytool -import -trustcacerts -alias StartComRootCA -file c:\temp\ca.crt -keystore subsonic.keystore

Let wel op dat je de juiste paden richting het ca.crt en subsonic.keystore bestand gebruikt.

Vraag

Alle reacties