Траходром с X.509, PKCS12, OpenSSL и Java-приложениями

[klink0v]

Чем нормальные люди в субботу занимаются? Правильно, пиво пьют. Но сисадмины - не нормальные. Они долбанутые. Ладно-ладно, уговорили. Не "они долбанутые", а "я долбанутый".

Итак. Дано: "честный" X.509-сертификат в виде base64-encoded PEM-контейнера от удостоверяющего центра "GeoTrust", он же "RapidSSL", он же "Symantec", он же "Thawte", он же бывший

Comments

[rustedowl]

Я просто оставлю это здесь. Метода для Openfire.

[klink0v]

Конкретно мне важно не просто найти способ достижения желаемого результата, а разобраться в "кишках" и принципах функционирования того, что я настраиваю. Поэтому я решил сам пройти весь этот нелёгкий путь. К тому же, основная проблема у меня возникла именно с формированием PKCS12-контейнера из-за этой неразберихи с сертификатами (кто кого как подписывает). Потому что конкретно в моем случае один и тот же intermediate корректно подписан тремя разными CA, при этом два из них формируют вполне себе валидные (и разные) цепочки.

[rustedowl]

Так я же не против :)
Просто - на случай если кому-то нужен именно Openfire, и не хочется заморачиваться с заклинаниями OpenSSL, то есть замечательная ГУЁвая утилитка... :)

[anton_tramp]

Большое спасибо за статью. О добыче всех сертификатов по цепочке было описано только у вас. Весь интернет был завален интеграцией самоподписанных сертификатов.

Хочется еще внести одно уточнение. При выполнении команды

cat intermediate1.crt intermediate2.crt rootca.crt > cabundle.crt
нужно убедиться, что все сертификаты заканчиваются переводом строки. У меня это было не так, в итоге результирующий файл cabundle.crt отказывался читаться

[klink0v]

You welcome.

Насчет перевода строки... я как-то думал, что это есть нечто само собой разумеющееся. Поэтому и не упомянул.