Dupa cite am observat in ultima vreme mai toate (sau toate?) Root CA Authorities nu mai emit direct certificate semnate de ele, ci toate folosesc un Intermediate CA ca sa semneze certificatul (din motive de securitate). Majoritatea serverelor au o optiune care sa-ti permita sa specifici acest Intermediate CA, de exemplu la Apache:
SSLCertificateFile /etc/pki/tls/certs/domeniu.crt
SSLCertificateKeyFile /etc/pki/tls/private/domeniu.key
SSLCertificateChainFile /etc/pki/tls/certs/RapidSSL_CA.pem
Din pacate Openfire nu are o astfel de optiune si aici solutia este sa introduci certificatul in 'truststore' o baza de date cu certificate 'trusted'. Solutia pentru Openfire este:
/opt/openfire/jre/bin/keytool -import -trustcacerts -keystore \ /opt/openfire/resources/security/truststore -file \
/etc/pki/tls/certs/RapidSSL_CA.pem -alias RapidSSL_CA
dupa acest pas se reporneste Openfire si se incarca certificatul. Daca nu am fi incarcat Intermediate CA-ul in truststore, ar fi dat eroare pasul in care incercam sa incarcam certificatul.
Parola implicita pentru truststore este 'changeit'.
No comments:
Post a Comment