Ihsan Dogan's Solaris Blog

Sun hat bereits seit 2 Jahren mit dem Java System Proxy Server einen erstklassigen Proxy Server auf dem Markt, welcher zu den perfrormantesten Proxy Server zählt. Wie der Java System Messaging Server benutzt der Java System Proxy Server auch die NSS.

Ich musste feststellen, dass es gewisse Stolpersteine gibt, wenn man SSL Zertifikate von der Command Line aus verwalten möchte. Wie bei OpenSSL, ist NSS nicht sonderlich gut dokumentiert. Leider habe ich bei Sun ausser Infodocs für den Webserver geschrieben wurden, keine Dokumentation für das Command Line Interface gefunden, da in der Dokumentation auf die GUI verwiesen wird. Und die GUI wiederum bietet nicht die vollständige Funktionalität von certutil. Für das Command Line Interface certutil gibt es glücklicherweise eine auf den Mozilla Seiten eine spärliche Dokumentation, welche wirklich hilfreich ist.

Beim importieren von PEM Zertifikaten, kann man sich prinzipiell an meinen Blog Eintrag halten, den ich vor einem Monat geschrieben habe. Es gibt allerdings einige Punkte, die man im Zusammenhang mit dem Proxy Server beachten sollte. Bevor man loslegt, sollte, man die Zertifikats Datenbank im Admin Interface erstellen. Sobald das gemacht wurde, kann man nach meiner Doku die Zertifikate importieren. Wichtig ist dabei, dass man mit der Option -d den Pfad auf /opt/proxyserver40/alias zeigt und mit der Option -P den Namen der Instanz angibt. Der Name der Instanz ist dabei ein bisschen komisch aufgebaut und sieht wie folgt aus: ‘{instanz}-{hostname}-‘ (Bindestriche beachten!)

Nachdem die Zertifikate importiert wurden, sollten nach einem Restart des Admin Servers die importierten Zertifikate im Admin Interface erscheinen.

Das gleiche dürfte vermutlich auch für den Java System Web Serer gültig sein, allerdings habe ich das bis jetzt aus zeitlichen Gründen noch nicht ausprobieren können.

Wir haben vergangene Woche geübt, Zertifikate im PEM Format welche von CAcert unterschrieben worden sind, in NSS zu importieren. Leider gibt es nicht sonderlich viel Dokumentation, wie man fremde Zertifikate in NSS importiert, habe ich diese Schritt für Schritt Anleitung geschrieben.

NSS steht für Network Security Services und ist eine SSL Bibliothek, welche ürsprünglich von Netscape entwickelt wurde. NSS wird neben Firefox und Thunderbird in sämtlichen JES Produkten von Sun verwendet.

Als erstes sollte man das unterschriebene Zertifikat sowie den private Key in einem File haben.

# cat foo.bar.com.cert foo.bar.com.key > both.pem

Da NSS mit dem PEM Format nichts anfangen kann, muss das Zertifikat in das PKCS12 Format konvertiert werden, welches dann mit pk12util importiet werden kann.

# openssl pkcs12 -export -in both.pem -out both.p12 -name foo.bar.com

# pk12util -d /opt/SUNWmsgsr/config -i both.p12 -v

Wenn dies erfolgreich war, sollte certutil bereits das Zertifikat zeigen.

# certutil -d /opt/SUNWmsgsr/config -K
Enter Password or Pin for "NSS Certificate DB":
<0> Server-Cert
<1>
<2> foo.bar.com
<3>
<4>
<5>

Da das Zertifikat der CA Authority CAcert noch nicht importiert wurde, erhalten wir folgenden Fehler:

# certutil -d /opt/SUNWmsgsr/config -V -n foo.bar.com -u V
certutil: certificate is invalid: Peer's Certificate issuer is not recognized.

Das Zertifikat gibt es bereits im PKCS12 Format, deshalb muss man es nicht konvertieren.

# wget http://www.cacert.org/certs/root.der
# certutil -d /opt/SUNWmsgsr/config -A -i root.der \
  -n intermediate -t "C,C,C"

Zum Abschluss sollte man noch überprüfen, ob alles korrekt in die Datenbank importiert wurde.

# certutil -d /opt/SUNWmsgsr/config -L
Server-Cert                                                  CTu,u,u
intermediate                                                 C,C,C
foo.bar.com                                                  u,u,u

# certutil -d /opt/SUNWmsgsr/config -V -n foo.bar.cim -u V
certutil: certificate is valid

Tip: Mit ‘msgcert list-certs‘ werden die Zertifikaten komfortabler aufgelistet. Unter anderem zeigt msgcert, wann das Zertifikat abläuft.