Gestisco una vecchia app Java che distribuisce a Tomcat e che utilizza SSL (e quindi un keystore). È importante notare che questa app non potrebbe essere avviata anche se il certificato SSL è scaduto / scaduto / non valido!
Ogni anno il certificato SSL scade e quindi qualcuno deve sostituire il vecchio certificato in scadenza nel JKS con uno nuovo (fornito dall'IT). Ora sto iniziando questo processo / divertimento per quest'anno.
Ho iniziato eseguendo il comando keytool
che stampa il contenuto di JKS:
keytool -list -v -keystore myapp.jks
A meno che non legga l'output errato, vedo solo un certificato scaduto nel 2015! Se è così, come diavolo questa app è stata lanciata per l'ultimo anno?!? L'unica cosa che io faccio vedere è un cert nella "catena" che scade nel 2034. Suppongo di non capire le catene SSL come dovrei, ma la mia teoria è che (in qualche modo) il il certificato che scade nel 2034 mantiene in qualche modo il mio certificato principale vivo / valido - è possibile ? Ecco un censurato / riassunto dell'output di quel comando di lista dall'alto:
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: blah
Creation date: May 1, 2014
Entry type: PrivateKeyEntry
Certificate chain length: 3
Certificate[1]:
Owner: blah
Issuer: blah
Serial number: blah
Valid from: Thu Feb 16 15:49:19 EST 2012 until: Mon Feb 16 15:49:19 EST 2015
Certificate fingerprints:
MD5: blah
SHA1: blah
SHA256: blah
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: blah Criticality=false
AuthorityInfoAccess [
...a lot of stuff omitted for brevity
Certificate[3]:
Owner: OU=Go Daddy Class 2 Certification Authority, O="The Go Daddy Group, Inc.", C=US
Issuer: OU=Go Daddy Class 2 Certification Authority, O="The Go Daddy Group, Inc.", C=US
Serial number: 0
Valid from: Tue Jun 29 13:06:20 EDT 2004 until: Thu Jun 29 13:06:20 EDT 2034
Certificate fingerprints:
MD5: blah
SHA1: blah
SHA256: blah
Signature algorithm name: SHA1withRSA
Version: 3
...a lot more stuff, again omitted for brevity
Qualcuno può vedere una ragione per cui questo certificato sarebbe ancora valido?!?