4.2.3. Zertifikate in JSSE

Grundsätzliches

Anwendungen in ExtraNet sind mit einem serverseitigen Zertifikat gesichert, das von einer öffentlichen Zertifizierungsstelle erstellt wurde.

Es wird empfohlen, das Zertifikat der Stammzertifizierungsstelle (Root CA) zu importieren.

Zur Ermittlung des Zertifikats rufen Sie per Browser die Seite

https://extranet.bundesbank.de (Produktionsumgebung) bzw.
https://extranet-t.bundesbank.de (Testumgebung)

auf und rufen Sie die nötigen Infos über die Internetoptionen ab.

Ermittlung des verwendeten Keystores

Der verwendete Keystore der Java-Anwendung lässt sich folgendermaßen ermitteln:

Schritt	Aktion
1	Rufen Sie die JSSE-Anwendung mit Debug-Option folgendermaßen auf: java -Djavax.net.debug.=ssl <anwendungsname> Ergebnis: In den ersten Zeilen des erzeugten Outputs wird der Dateiname inkl. absoluter Pfad-Information des verwendeten Keystores wiedergegeben. Hinweis: Weitere Details entnehmen Sie bitte dem JSSE-Referenz-Guide unter: http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.htmll

Schritt

Aktion

Rufen Sie die JSSE-Anwendung mit Debug-Option folgendermaßen auf:

java -Djavax.net.debug.=ssl <anwendungsname>

Ergebnis: In den ersten Zeilen des erzeugten Outputs wird der Dateiname inkl. absoluter Pfad-Information des verwendeten Keystores wiedergegeben.

Hinweis: Weitere Details entnehmen Sie bitte dem JSSE-Referenz-Guide unter:

http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.htmll

Import des Zertifikates am Beispiel des Microsoft Internet Explorers

Das entsprechende Zertifikat für den Root-CA lässt sich über den Microsoft Internet Explorer folgendermaßen in den Keystore importieren:

Schritt	Aktion
1	Öffnen Sie den Microsoft Internet Explorer.
2	Rufen Sie „Extras > Internetoptionen > Reiter „Inhalte“ > Button „Zertifikate“ > Reiter „Vertrauenswürdige Stammzertifizierungsstellen““ auf, wählen Sie aus der Liste das aktuelle Root-Zertifikat der Anwendung aus und exportieren Sie dies im Format „Base64-codiert X509“. Ergebnis: Das Zertifikat wurde in ein Base64-codiertes Format exportiert. Hinweis: Sie können nach Ermittlung des Zertifikats der Root-CA dieses auch über den Internetauftritt der zugehörigen Zertifizierungsstelle herunterladen und in den Keystore Ihres automatisierten Clients importieren.
3	Importieren Sie das Zertifikat mit dem JDK-Tool keytool folgendermaßen in den verwendeten Java-Keystore: keytool -import -file "d:\jsse\tc.cer" – keystore"D:\jdk1.4\jre\lib\security\cacerts“ Hinweis: Das Passwort ist per Default auf “changeit” gesetzt. Unterbleibt der Import, so generiert JSSE die folgende Fehlermeldung: „untrusted server cert chain“

Schritt

Aktion

Öffnen Sie den Microsoft Internet Explorer.

Rufen Sie „Extras > Internetoptionen > Reiter „Inhalte“ > Button „Zertifikate“ > Reiter „Vertrauenswürdige Stammzertifizierungsstellen““ auf, wählen Sie aus der Liste das aktuelle Root-Zertifikat der Anwendung aus und exportieren Sie dies im Format „Base64-codiert X509“.

Ergebnis: Das Zertifikat wurde in ein Base64-codiertes Format exportiert.

Hinweis: Sie können nach Ermittlung des Zertifikats der Root-CA dieses auch über den Internetauftritt der zugehörigen Zertifizierungsstelle herunterladen und in den Keystore Ihres automatisierten Clients importieren.

Importieren Sie das Zertifikat mit dem JDK-Tool keytool folgendermaßen in den verwendeten Java-Keystore:

keytool -import -file "d:\jsse\tc.cer" –

keystore"D:\jdk1.4\jre\lib\security\cacerts“

Hinweis: Das Passwort ist per Default auf “changeit” gesetzt.

Unterbleibt der Import, so generiert JSSE die folgende Fehlermeldung:

„untrusted server cert chain“