Web servislerini harici yetkili istemcilere açıklayan bir Java uygulaması oluşturdum. Web servisleri, Sertifika Kimlik Doğrulaması ile WS-güvenlik kullanır. Temel olarak, Özel Sertifika Yetkilisi olarak hareket ediyoruz - sunucumuzda bir java güven mağazasını sürdürüyoruz ve müşterinin sertifikasını imzalayıp ona ekliyoruz. Şu anda, WS istemcilerinin sertifika imzalama isteğini yüklemelerini gerektiren manuel kayıt işlemimiz var. CSR'yi imzalarız, sertifikayı keytool komut satırından kullanarak java truststore'umuza ekleriz ve CA sertifikamızla birlikte imzalı sertifikayı istemciye iade ederiz. Sırayla müşteriler kendi özel anahtarlarını sabunlu ileti yüklerini imzalamak ve mesaja imzalı sertifika eklemek için kullanırlar. Sunucu tarafı, dijital imzayı çözer ve istemci isteğini yerine getirmeden önce, katıştırılmış sertifikanın imzalandığını ve bir kişinin güvencemizle eşleştiğini doğrular.Güncellenme Kendi kendine imzalanmış CA sertifikasını güncelleme java truststore
Küçük ağrılı olmasına rağmen (el yordamı nedeniyle) bu kurulum gayet iyi çalışıyor. Şimdi, kök CA sertifikamızın geçerlilik süresi dolmak üzere olduğunu ve bu nedenle bakım politikasını kurmaya çalıştığımı fark ettim. Kendinden imzalı kök CA sertifikasını yenilemeye nasıl başlamalıyım? Yeni oluşturmam ve orijinali değiştirmem gerekecek gibi görünüyor. Ve bu, tüm istemcilerin yeni sertifika alması ve yeni CA sertifikası alması gerekecek. Bu doğru anlayış mı yoksa durumu ele almak için daha iyi bir yol var mı?
Önemli olan, orijinal anahtar çifti oluşturmak için openssl kullanmış. Kök CA aynı özel anahtarı tutulması
openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -config openssl.cnf
İyi soru !! Aynı şeyi yapmaya son verirdim, yeni bir tane yarattım ama bu sefer daha çok sayıda günle. Bunu openssl.cnf dosyasında yapılandırabilirsiniz. – Arham
Kesinlikle bu sefer daha uzun süre sona ereceğinden emin olacağım. Teşekkürler. – jay