Import StartCom SSL certifikátu do Javy

Jak naučit Javu pracovat se StartCom SSL certifikáty

16.7.2010 12:00 | Radim Kolář | přečteno 416×

SSL Certifikáty od certifikační autority StartCom nabývají v současné době na popularitě. Dává totiž Class 1 certifikáty zdarma a tyto certifikáty jsou out-of-box rozeznávány současnými web prohlížeči. Není proto již žádný důvod používat self-signed certifikáty, protože uživatel musí schválit před vstupem na zabezpečenou stránku bezpečnostní vyjímku k čemuž ho navíc prohlížeče vyzívají aby to nedělal.

Problém se startCom certifikáty je u Java aplikací, protože ty se standardně odmítají spojit se servery s neuznávanými certifikáty a StartCom certifikáty v současnosti Java 5 či Java 6 standardně neuznává. Je proto potřeba certifikát StartCom naimportovat. Ačkoliv se to zdá na první pohled snadná záležitost, má to několik úskalí.

1. Java 5 neumí používat certifikační autority pokud je neuložíte do systémové databáze. V uživatelské nefungují.

2. Sun Java5 neumí správně naimportovat certifikát. Sun Java 6 to umí. Pokud potřebujete Javu 5 je potřeba použít IBM Java5

Pokud používáme Javu 5, v současnosti už nepodporovanou ale stále ještě nejpoužívanější verzi Javy tak si budeme muset sehnat IBM JDK5. Tento runtime neni volně ke stažení pokud nevlastníme počítač vyrobený u IBM. Je součástí IBM produktů z nichž některé jsou k dispozici zdarma. Když si kupříkladu stáhneme IBM Websphere Community Edition tak si můžeme vybrat zda chceme verzi bundlovanou s IBM JDK5 nebo IBM JDK6. Java runtime můžeme pak ručně nainstalovat aniž bychom museli instalovat websphere. K dispozici jsou 64 bit i 32 bit verze pro Windows a Linux pro procesory SPARC, Intel a POWER.

Stáhneme si certifikát z https://www.startssl.com/certs/ca.crt a uložíme ho někam. Ostatní návody na netu se zmiňují o tom, že je potřeba ještě naimportovat ostatní certifikáty, ale mne to fungovalo i bez nich. V případě zájmu si je můžete stáhnout: Class 1, Class 2, Class 3, Class 4 (EV).

Certifikát ca.crt pak naimportujeme do systémové databáze certifikačních autorit Javy
C:\IBM\Java50\jre\lib\security>%JAVA_HOME%\bin\keytool -keystore cacerts -storepass changeit -import -trustcacerts -file c:\tmp\ca.crt
Pokud si chcete nebo potřebujete nainstalovat ještě Class X certifikáty, zde pravděpodobně záleží na verzi Javy a JCE crypto providera SUN čï IBM tak je importujte podobným způsobem jako root StartCom CA, jen vynechte přepínač -trustcacerts.

Po instalaci by již Java neměla protestovat když se bude připojovat na server s certifikátem od StartCom. Zejména se jedná o server Codehaus, který nedávno k nelibosti Java komunity přešel na certifikáty od StartCom.

Verze pro tisk