SSL-Zertifikate, was ist zu beachten? Unterschiede?

C

cmg

Mitglied
Hi,
ich habe eine Servlet-Anwendung (Tomcat) auf einem VServer laufen.
Nun soll der Datenverkehr zwischen Browser und Tomcat verschlüsselt werden.

Ich dachte da an eine SSL-Verbindung.
Die Frage is nun. Wo sind die Unterschiede bei den Zertifikaten?
Wie ich das richtig gelesen habe, gibts beispielsweise bei 1und1 ein Zertifikat (hab ich gesehen, weil dort der VServer ist), welches 5€/Monat kostet, ausgestellt von Geotrust (QuickSSL). Alternativ gibts bei GoDaddy.com 2 Arten, einmal mit "grüner" Adressleiste und einmal ohne.

Das mit grüner Adressleiste kostet dort aber fast genausoviel wie das von 1&1.
Für den Kunden wäre eine grüne Adressleiste wohl ein echter Mehrwert, ich weiß nur nicht obs nicht noch irgendwelche Vor- und Nachteile entstehen, gerade auch bei der Einrichtung?

Kann mir da jemand helfen?
 
Wichtig ist im Endeffekt, dass 1. die Zertifizierungsstelle von den gängigen Browsern unterstützt wird und 2. dass das Zertifikat in einer Form vorliegt, mit der Tomcat etwas anfangen kann. Siehe dazu die Doku: http://tomcat.apache.org/tomcat-3.3-doc/tomcat-ssl-howto.html Ausserdem hängt es natürlich auch ein wenig davon ab wie dein Tomcat aufgesetzt ist, ob er z.B. mittels mod_jk durch Apache geschleift wird o.ä..
 
zu 1. Gibts irgendwo eine Auflistung wie gut die jeweiligen Zertifizierungsstellen in den Browsern vertreten sind? In meinem Fall wären ja quasi GoDaddy und GeoTrust interessant.

zu 2. der Tomcat ist alleine, also ohne Apache, aber ist es nicht bei jeder Stelle so, dass man son .crt-File bekommt und es dann einspielen kann? Also gibts es nun Anbieter die mit Tomcat nicht funzen werden? Dachte das wäre irgendwie standardisiert...
 
Schau einfach in den Browser (IE+Firefox, was in den beiden ist, ist in der Regel auch in den anderen). Falls es übrigens nicht für Kunden sein soll:
CAcert ist kostenlos (aber nicht dabei) und generell kann man auch selbst eine CA machen. Aber das geht eben nur, wenn man Einfluss auf die installierten Zertifikate hat.
 
CRT-Datei ist nicht gleich CRT-Datei. Die kann in PKCS7, PKCS12 usw. vorliegen. Ich bin gerade nicht auf dem Laufenden was Tomcat davon alles kann, da ich SSL bei uns immer über den Loadbalancer mache oder über einen vorgeschalteten Apache, da sich dort Ablaufdatum der Zertifikate etc. leichter monitoren lassen.
 
@saeckereier: Ist für Kunden.

@bitmuncher: Ach so, okay. Also Tomcat 6 kann folgende: JKS, PKCS11 or PKCS12.
Werde ich mal bei den Anbietern nachfragen in welchem Format die kommen.
 
OpenSSL sollte auch Konvertieren können zwischen den Formaten. Wie findet man im Netz, ich vergess es immer wieder (und such mich auch immer wieder dämlich...)
 
Thawte liefert aber per Default PKCS7 und seit kurzem auch noch mit falschen Header- und Footer-Zeilen. Anstelle von "-----BEGIN PKCS7-----" verwenden die neuerdings "-----BEGIN PKCS #7 SIGNED DATA-----" in der Header-Zeile, was OpenSSL mit "unable to load PKCS7 object" quittiert und Apache in die Knie zwingt.
 
Zurück
Oben