keystore java não pode validar URL

3

Com o mesmo url, isso acaba dando um código de retorno de verificação 20 (não é possível obter o emissor local do certificado):

openssl s_client -connect $URL:443 -showcerts -CAfile /etc/ssl/certs/java/cacerts

Isto dá um código de retorno de verificação de 0:

openssl s_client -connect $URL:443 -showcerts -CApath /etc/ssl/certs

Como o ... -CAfile /etc/ssl/certs/Thawte_Premium_Server_CA.pem .

Mas esse certificado já está no keystore java. Eu preciso ser capaz de acessar o URL do Java-land e não consigo descobrir o que está acontecendo. Eu sou um total n00b aqui, então qualquer ajuda seria apreciada.

    
por ben w 16.02.2013 / 02:37

1 resposta

4

O arquivo Tha cacerts é um keystore no formato JKS, que o OpenSSL não suporta (é o formato de keystore padrão para Java, mas não é comumente suportado por utilitários não Java)

Se você quiser usar openssl s_client com os certificados desse keystore, poderá extraí-los de uma forma utilizável com

keytool -list -rfc -keystore /etc/ssl/certs/java/cacerts > cacerts.pem

(a senha padrão para o arquivo cacerts é "changeit", mas se você quiser apenas ver os certificados públicos, basta digitar uma senha em branco e tudo ficará bem)

    
por 26.02.2013 / 15:21