keytool

[mkScheller]

hi leute,

ich werd noch wahnsinnig, seit einiger zeit versuche ich mit dem keytool Schlüsselpaare für SSL-verschlüsselte Kommunikation zwischen Server und Client zu erstellen. Ich habe mir dafür 2 kleine Skripte geschrieben, die das dann vollautomatisch machen.

Jetzt meine Frage: Wenn ich wie siehe unten Schlüsselpaare erstelle, sind diese dann für SSL geeignet/korrekt?

keytool -genkey -alias %ALIAS% -keystore c:\runexec\server\serverKeystore -keypass %PW% -storepass server -keyalg RSA -validity 365 -dname "CN=..."

wobei %ALIAS% ein Platzhalter für ein alias ist und %PW% auch ein Platzhalter für ein Passwort ist Exportieren des Server-Zertifikats:

keytool -export -alias %ALIAS% -storepass server -file c:\runexec\server\%ALIAS%.cer -keystore c:\runexec\server\serverKeystore

und anschließendes Einbinden des exportierten Zertifikats in den keystore des clients:

keytool -import -v -trustcacerts -alias %ALIAS% -file c:\runexec\server\%ALIAS%.cer -keystore c:\runexec\client\clientKeystore -keypass %PW% -storepass client

entsprechendes natürlich auch für den Client-Keystore:

keytool -genkey -alias %ALIAS% -keystore c:\runexec\client\clientKeystore -keypass %KEYPASS% -storepass client -keyalg RSA -validity 365 -v -dname "CN=..."

keytool -export -alias %ALIAS% -storepass client -file c:\runexec\client\%ALIAS%.cer -keystore c:\runexec\client\clientKeystore

keytool -import -v -trustcacerts -alias %ALIAS% -file c:\runexec\client\%ALIAS%.cer -keystore c:\runexec\server\serverKeystore -keypass %KEYPASS% -storepass server

Das erfolgt auch problemlos (natürlich achte ich darauf, dass die entsprechenden keystores existieren, denn sonst geht ja das einbinden nicht) und enthalten tun die keystores jeweils einen "keyentry" und einen "trustedCertEntry". Der Server wird gestartet - klappt Der Client wird gestartet - klappt nicht, weil eine ...NO_PERMISSION-exception vom server zum client geworfen wird, mit der Begründung

About to reject request because connection is not SSL

Dabei ist es doch SSL oder nicht?? *arrgghh*

ich hoffe auf zahlreiche vorschläge, ideen, anregungen und so, denn vom vielen trial 'n error bin ich erschöpft

Gruss, mk

[mkScheller]

mir kommt es so vor als würde ich einfach zu schwierige fragen stellen, ist dem denn so?

[TrueSun]

Hallo!

mir kommt es so vor als würde ich einfach zu schwierige fragen stellen

Mir kommt es eher so vor als würdest du deine Fragen nicht genügend ausformulieren.

Server und Client, redest du von https oder wie werden deine keystores benutzt?

Jetzt meine Frage: Wenn ich wie siehe unten Schlüsselpaare erstelle, sind diese dann für SSL geeignet/korrekt?

ja.

Dabei ist es doch SSL oder nicht?

Das kann ich nicht sagen, solange du nicht schreibst, wie du deine stores in deinem Programm Benutzt. Einfach die Stores erstellen und schon ist alles "secure" geht leider nicht.

ich hoffe auf zahlreiche vorschläge, ideen, anregungen und so, denn vom vielen trial 'n error bin ich erschöpft

Vielleicht solltest du mal ein howto lesen, nur duch trial&error sind die wenigsten Fehler beseitigt worden.

K, genug geflamed für heute. Halt einfach deine Leser nicht für doof, dann lass ich meinen Flammenwerfer zu hause.

Grüsse TrueSun