Зачем нужны keystore и truststore? На примере Apache ActiveMQ.

0

2

Какая разница между keystore и truststore? Keystore хранит на сервере сертификаты и ключи, которыми сервер шифрует то, что раздаёт? А truststore хранит информацию, каким чужим сертификатам можно доверять, когда сервер заходит на другие сервера как клиент? Но с точки зрения keytool принципиальной разницы нет, формат одинаков?

В дистрибутиве Apache ActiveMQ имеется 4 таких файла: broker.ks, broker.ts, client.ks, client.ts. broker.ks используется сервером, если включены доступ по SSL к REST, веб-интерфейсу, STOMP, WebSockets и т.п.? client.ts используется клиентскими программами на Java? А для чего нужны 2 остальных? SSL/TLS предусматривает вариант, когда клиент даёт серверу свой сертификат, и тот его принимает или не принимает?

P.S. Ещё вопрос туда же. Сертификат выдан на *.domain.ru. Я делаю как в https://wavemotiondigital.com/2014/03/07/convert-your-wildcard-ssl-to-jks-java-keystore-format/:

openssl pkcs12 -export -name my.domain.ru -in ca_bundle.pem -inkey domain.ru.key -out keystore.p12
keytool -importkeystore -destkeystore broker.ks -srckeystore keystore.p12 -srcstoretype pkcs12 -alias my.domain.ru

и всё нормально работает для https://my.domain.ru. Но когда я добавляю те же сертификаты под другим алиасом:

openssl pkcs12 -export -name my.subnet.domain.ru -in ca_bundle.pem -inkey domain.ru.key -out keystore2.p12
keytool -importkeystore -destkeystore broker.ks -srckeystore keystore2.p12 -srcstoretype pkcs12 -alias my.subnet.domain.ru

на https://my.subnet.domain.ru Хром ругается. Как сделать, чтобы работало для обоих доменов?

Ссылка

←	BIRD в Alpine Linux

Резервирование почтового сервера postfix+dovecot

→

SSL/TLS предусматривает вариант, когда клиент даёт серверу свой сертификат, и тот его принимает или не принимает?

Прикинь.

t184256 ★★★★★
(16.03.21 03:44:58 MSK)

Ответ на: комментарий от t184256 16.03.21 03:44:58 MSK

А зачем это нужно? Вместо пароля? Кто этим активно пользуется?

И можешь на P.S. ответить? Как делать keystore на несколько доменов, если есть сертификат со звёздочкой? Домены на одном IP, если это имеет значение.

olegd ★★★
(16.03.21 04:07:23 MSK) автор топика

Ответ на: комментарий от olegd 16.03.21 04:07:23 MSK

Я бы начал с того, что под-домен для my.domain.ru будет subnet.my.domain.ru.

Второй момент - вместо того, чтобы добавить алиас на уже добавленный сертификат, ты зачем-то импортируешь хранилище заново, возможно дело в этом.

pon4ik ★★★★★
(16.03.21 05:58:25 MSK)

Ответ на: комментарий от olegd 16.03.21 04:07:23 MSK

В системных интеграциях пользуются. Не сказать, что активно, но бывает. На обычных сайтах сто лет не видел. Называется TLS Client Authentication.

~~Legioner~~ ★★★★★
(16.03.21 07:00:28 MSK)

Сертификат выдан на *.domain.ru

Сделай ещё один на *.subnet.domain.ru и тогда будет работать, или засунь свой *.subnet.domain.ru внутрь серта (если ты сам его делал)

ya-betmen ★★★★★
(16.03.21 08:45:08 MSK)

Ответ на: комментарий от olegd 16.03.21 04:07:23 MSK

А зачем это нужно? Вместо пароля? Кто этим активно пользуется?

Из того чем пользуюсь регулярно я - в EJBCA администратор может авторизоваться через web только с помощью сертификата

Pinkbyte ★★★★★
(16.03.21 11:36:02 MSK)

Ответ на: комментарий от pon4ik 16.03.21 05:58:25 MSK

под-домен для my.domain.ru будет subnet.my.domain.ru.

Невозможно.

вместо того, чтобы добавить алиас на уже добавленный сертификат, ты зачем-то импортируешь хранилище заново

Из написанного по ссылке я сделал вывод, что эти домены следует указывать в -name при создании хранилища *.p12. И что хранилище может иметь только 1 имя. Это не так?

olegd ★★★
(16.03.21 12:35:50 MSK) автор топика

Ссылка

Ответ на: комментарий от ya-betmen 16.03.21 08:45:08 MSK

если ты сам его делал

Не сам.

olegd ★★★
(16.03.21 12:36:36 MSK) автор топика

Ссылка

Ответ на: комментарий от Legioner 16.03.21 07:00:28 MSK

TLS Client Authentication

Спасибо за термин. Скорее всего, с этим заморачиваться не придётся, но буду знать, что искать.

olegd ★★★
(16.03.21 12:41:17 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 16.03.21 11:36:02 MSK

https://www.ejbca.org/

EJBCA supports running unlimited number of CAs and levels of CAs in a single installation.

Серьёзно.

olegd ★★★
(16.03.21 12:44:29 MSK) автор топика

Ссылка

Ответ на: комментарий от olegd 16.03.21 04:07:23 MSK

Чтобы аутентифицировать клиентов 1) по ключам, 2) на уровне, ниже прикладного, 3) без всяких там баз паролей, а с доверием на цепочках сертификатов. Вообще-то куда более здравая идея, чем городить в каждом протоколе и каждом сервере свой велосипед аутентификации. Но не взлетевшая, для клиентов из мяса это типа слишком сложно.

t184256 ★★★★★
(18.03.21 01:05:11 MSK)

Ссылка

13 мая 2021 г.

всё нормально работает для https://my.domain.ru … на https://my.subnet.domain.ru Хром ругается. Как сделать, чтобы работало для обоих доменов?

https://en.wikipedia.org/wiki/Wildcard_certificate

Похоже, никак. Шаблон *.domain.ru не охватывает *.*.domain.ru.

olegd ★★★
(13.05.21 18:05:32 MSK) автор топика

Ответ на: комментарий от olegd 13.05.21 18:05:32 MSK

Дополнение: у новых версий Jetty проблемы, если несколько имён: https://opennms.discourse.group/t/jetty-with-ssl-throws-error-with-keystores-with-multiple-certificates-are-not-supported/1489 И, похоже, со звёздочками та же проблема. Лечится заменой всех org.eclipse.jetty.util.ssl.SslContextFactory в конфиге Jetty на org.eclipse.jetty.util.ssl.SslContextFactory$Server.

Вроде бы можно и на org.eclipse.jetty.util.ssl.SslContextFactory.Server, но не проверял.

olegd ★★★
(13.05.21 19:27:34 MSK) автор топика
Последнее исправление: olegd 13.05.21 19:28:40 MSK (всего исправлений: 2)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	BIRD в Alpine Linux

Admin

Резервирование почтового сервера postfix+dovecot

→

Похожие темы