SSL-Zertifikate, was ist zu beachten? Unterschiede?

Dieses Thema im Forum "Security Talk" wurde erstellt von cmg, 15.02.2010.

  1. cmg

    cmg Mitglied

    Dabei seit:
    04.06.2008
    Beiträge:
    36
    Zustimmungen:
    0
    Hi,
    ich habe eine Servlet-Anwendung (Tomcat) auf einem VServer laufen.
    Nun soll der Datenverkehr zwischen Browser und Tomcat verschlüsselt werden.

    Ich dachte da an eine SSL-Verbindung.
    Die Frage is nun. Wo sind die Unterschiede bei den Zertifikaten?
    Wie ich das richtig gelesen habe, gibts beispielsweise bei 1und1 ein Zertifikat (hab ich gesehen, weil dort der VServer ist), welches 5€/Monat kostet, ausgestellt von Geotrust (QuickSSL). Alternativ gibts bei GoDaddy.com 2 Arten, einmal mit "grüner" Adressleiste und einmal ohne.

    Das mit grüner Adressleiste kostet dort aber fast genausoviel wie das von 1&1.
    Für den Kunden wäre eine grüne Adressleiste wohl ein echter Mehrwert, ich weiß nur nicht obs nicht noch irgendwelche Vor- und Nachteile entstehen, gerade auch bei der Einrichtung?

    Kann mir da jemand helfen?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bitmuncher, 15.02.2010
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Wichtig ist im Endeffekt, dass 1. die Zertifizierungsstelle von den gängigen Browsern unterstützt wird und 2. dass das Zertifikat in einer Form vorliegt, mit der Tomcat etwas anfangen kann. Siehe dazu die Doku: http://tomcat.apache.org/tomcat-3.3-doc/tomcat-ssl-howto.html Ausserdem hängt es natürlich auch ein wenig davon ab wie dein Tomcat aufgesetzt ist, ob er z.B. mittels mod_jk durch Apache geschleift wird o.ä..
     
  4. cmg

    cmg Mitglied

    Dabei seit:
    04.06.2008
    Beiträge:
    36
    Zustimmungen:
    0
    zu 1. Gibts irgendwo eine Auflistung wie gut die jeweiligen Zertifizierungsstellen in den Browsern vertreten sind? In meinem Fall wären ja quasi GoDaddy und GeoTrust interessant.

    zu 2. der Tomcat ist alleine, also ohne Apache, aber ist es nicht bei jeder Stelle so, dass man son .crt-File bekommt und es dann einspielen kann? Also gibts es nun Anbieter die mit Tomcat nicht funzen werden? Dachte das wäre irgendwie standardisiert...
     
  5. #4 saeckereier, 15.02.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Schau einfach in den Browser (IE+Firefox, was in den beiden ist, ist in der Regel auch in den anderen). Falls es übrigens nicht für Kunden sein soll:
    CAcert ist kostenlos (aber nicht dabei) und generell kann man auch selbst eine CA machen. Aber das geht eben nur, wenn man Einfluss auf die installierten Zertifikate hat.
     
  6. #5 bitmuncher, 15.02.2010
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    CRT-Datei ist nicht gleich CRT-Datei. Die kann in PKCS7, PKCS12 usw. vorliegen. Ich bin gerade nicht auf dem Laufenden was Tomcat davon alles kann, da ich SSL bei uns immer über den Loadbalancer mache oder über einen vorgeschalteten Apache, da sich dort Ablaufdatum der Zertifikate etc. leichter monitoren lassen.
     
  7. cmg

    cmg Mitglied

    Dabei seit:
    04.06.2008
    Beiträge:
    36
    Zustimmungen:
    0
    @saeckereier: Ist für Kunden.

    @bitmuncher: Ach so, okay. Also Tomcat 6 kann folgende: JKS, PKCS11 or PKCS12.
    Werde ich mal bei den Anbietern nachfragen in welchem Format die kommen.
     
  8. #7 saeckereier, 15.02.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    OpenSSL sollte auch Konvertieren können zwischen den Formaten. Wie findet man im Netz, ich vergess es immer wieder (und such mich auch immer wieder dämlich...)
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. foexle

    foexle Kaiser

    Dabei seit:
    02.05.2007
    Beiträge:
    1.104
    Zustimmungen:
    0
    Ort:
    Saarbrücken
    Also ich bestelle die Zertifikate immer über
    http://www.thawte.com/ direkt.
     
  11. #9 bitmuncher, 16.02.2010
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Thawte liefert aber per Default PKCS7 und seit kurzem auch noch mit falschen Header- und Footer-Zeilen. Anstelle von "-----BEGIN PKCS7-----" verwenden die neuerdings "-----BEGIN PKCS #7 SIGNED DATA-----" in der Header-Zeile, was OpenSSL mit "unable to load PKCS7 object" quittiert und Apache in die Knie zwingt.
     
Thema:

SSL-Zertifikate, was ist zu beachten? Unterschiede?

Die Seite wird geladen...

SSL-Zertifikate, was ist zu beachten? Unterschiede? - Ähnliche Themen

  1. Neuer Laptop was beachten?

    Neuer Laptop was beachten?: Ich will mir eine neuen Laptop kaufen es gibt 2 Modelle aber irgend wie denke ich das es ein Dell wird. Welches OS könnt ihr empfehlen für...
  2. EU-Institutionen beachten Richtlinien zu offenen Dokumentenformaten nicht

    EU-Institutionen beachten Richtlinien zu offenen Dokumentenformaten nicht: Die überwiegende Mehrheit der EU-Offiziellen, die Dokumente im Internet veröffentlichen, ignorieren die Richtlinien der EU zu offenen...
  3. EU-Institutionen beachten Richtlinien zu offenen Dokumentenformaten nicht

    EU-Institutionen beachten Richtlinien zu offenen Dokumentenformaten nicht: Die überwiegende Mehrheit der EU-Offiziellen, die Dokumente im Internet veröffentlichen, ignorieren die Richtlinien der EU zu offenen...
  4. Altes RedHat System clonen! Was muss ich beachten?

    Altes RedHat System clonen! Was muss ich beachten?: Hallo zusammen, ich habe ein altes RedHat System (20GB), welches ich durch ein Clone auf eine größere HDD (40GB oder 80GB) sichern will. Nun...
  5. Was beachten bei Mainboardwechsel?

    Was beachten bei Mainboardwechsel?: Da ich aus Erfahrung weiß, dass ein Mainboard-Wechsel Probleme mit sich bringen kann, frage ich lieber vorher nach. Ich nutze Debian testing...