Skip to Content

Changes for page STARFACE

Last modified by Sebastian Marsching on 2024/01/09 23:21
From version 7.1
edited by Sebastian Marsching
on 2022/07/17 15:59
Change comment: There is no comment for this version
To version 8.1
edited by Sebastian Marsching
on 2022/07/17 16:33
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -56,4 +56,33 @@
56 56  
57 57  # TLS-Zertifikat austauschen
58 58  
59 -Das TLS-Zertifikat für Tomcat und der zugehörige private Schlüssel ist in Java-Keystore unter `/usr/share/tomcat6/ssl/tomcat.keystore` (`/opt/tomcat/ssl/tomcat.keystore` in neueren STARFACE-Versionen) gespeichert. Das Passwort für den Keystore lautet „changeit“. Falls nicht nur ein neues Zertifikat hochgeladen werden soll (was über die Webserver-Oberfläche möglich ist), sondern auch der private Schlüssel ausgewechselt werden soll, kann diese Datei mit der Software [KeyStore Explorer](https://keystore-explorer.org/) bearbeitet werden.
59 +Das TLS-Zertifikat für Tomcat und der zugehörige private Schlüssel ist in einem Java-Keystore gespeichert.
60 +
61 +In älteren Versionen von STARFACE befindet sich dieser unter  `/usr/share/tomcat6/ssl/tomcat.keystore`, in neureren Versionen unter `/opt/tomcat/ssl/tomcat.keystore` **und** `/var/starface/tomcat/ssl/keystore.jks`.
62 +
63 +Das Passwort für den Keystore lautet „changeit“. Falls nicht nur ein neues Zertifikat hochgeladen werden soll (was über die Webserver-Oberfläche möglich ist), sondern auch der private Schlüssel ausgewechselt werden soll, kann diese Datei mit der Software [KeyStore Explorer](https://keystore-explorer.org/) bearbeitet werden.
64 +
65 +KeyStore Explorer kann leider nicht mit Zertifikaten und Schlüsseln im PEM-Format umgehen. Deshalb muss zunächst eine PKCS12-Datei mit dem Schlüsselpaar (Server-Zertikat, privater Schlüssel für Server-Zertifikat, ggf. Zertifikate von Zwischenzertifizierungsstellen) erstellt werden. Dies kann mit OpenSSL erfolgen:
66 +
67 +```bash
68 +openssl pkcs12 \
69 + -in starface-cert.pem \
70 + -inkey starface-privkey.pem \
71 + -certfile intermediate-ca.pem \
72 + -out starface.p12 \
73 + -export
74 +```
75 +
76 +Beim Export muss ein Passwort angegeben werden. Dieses Passwort muss dann erneut beim Import in KeyStore Explorer angegeben werden.
77 +
78 +Der Eintrag muss in KeyStore Explorer unter dem Namen `tomcat` importiert werden. Ein ggf. schon vorhanderer Eintrag gleichen Namens kann ersetzt werden. Beim Import wird auch nach einem Passwort gefragt mit dem das importierte Schlüsselpaar geschützt werden soll. Dort muss das Passwort „changeit“ (das gleiche, dass auch den gesamten Key-Store schützt) angegeben werden.
79 +
80 +Falls sich das Zertifikat der Root-CA geändert hat, muss dieses ebenfalls unter dem Eintrag `root` importiert werden. Auch hier kann ein ggf. schon vorhandener Eintrag ersetzt werden. Um ein evtl. im PEM-Format vorhandenes Zertifikat der Root-CA zu importieren, muss dieses zunächst in das DER-Format umgewandelt werden:
81 +
82 +```bash
83 +openssl x509 \
84 + -in root-ca.pem \
85 + -out root-ca.cer \
86 + -outform DER
87 +````
88 +