Меня попросили получить сертификат SSL для Oracle Application Server 11g, у которого скоро истекает срок действия сертификата. Отбросив в сторону тот факт, что 10g кажется новейшей версией, я получил сертификат от InCommon, как я обычно делаю без проблем (за исключением того, что я впервые предоставил Oracle Application Server 11g в качестве типа программного обеспечения в форме CSR). В электронном письме, содержащем ссылки для загрузки сертификата, упоминалось:
Детали сертификата:
Тип SSL: Обычный SSL
Сервер: ДРУГОЙ
Я отправил электронное письмо лицу, ответственному за его установку, и получил ответ, что для работы сертификата тип сервера должен быть Oracle Application Server (CN такой же, как и раньше). Они не смогли установить этот сертификат (мне не предоставили никаких подробностей) и упомянули, что у них была эта проблема ранее с Thawte, когда они не предоставили Oracle Application Server в качестве типа сервера. Я не вижу существенной разницы между установленным в настоящее время сертификатом (работающим) и новым, который я только что подписал с помощью InCommon (не работает).
$ openssl x509 -in sso-current.cer -text
отображается с опущенной нерелевантной информацией.
Data:
Version: 3 (0x2)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
Validity
Not Before: Oct 1 00:00:00 2009 GMT
Not After : Nov 28 23:59:59 2012 GMT
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.thawte.com/ThawteServerPremiumCA.crl
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Authority Information Access:
OCSP - URI:http://ocsp.thawte.com
Signature Algorithm: sha1WithRSAEncryption
и
$ openssl x509 -in sso-new.cer -text
показывает
Data:
Version: 3 (0x2)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=Internet2, OU=InCommon, CN=InCommon Server CA
Validity
Not Before: Nov 8 00:00:00 2012 GMT
Not After : Nov 8 23:59:59 2014 GMT
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:48:4F:5A:FA:2F:4A:9A:5E:E0:50:F3:6B:7B:55:A5:DE:F5:BE:34:5D
X509v3 Subject Key Identifier:
18:8D:F6:F5:87:4D:C4:08:7B:2B:3F:02:A1:C7:AC:6D:A7:90:93:02
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.5923.1.4.3.1.1
CPS: https://www.incommon.org/cert/repository/cps_ssl.pdf
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.incommon.org/InCommonServerCA.crl
Authority Information Access:
CA Issuers - URI:http://cert.incommon.org/InCommonServerCA.crt
OCSP - URI:http://ocsp.incommon.org
Мне ничего не приходит в голову как причина того, что один не будет работать, поэтому у меня нет конкретного запроса для подписывающей стороны о том, что делать по-другому при повторной подписи.
Попробуй это:
openssl x509 -in sso-current.cer -outform DER -out sso-fixed.cer
У вас есть сертификат в формате PEM в .cer
файл.
И переименовать sso-current.cer
к sso-current.pem
.