Назад | Перейти на главную страницу

SSL-сертификат для Oracle Application Server 11g

Меня попросили получить сертификат SSL для Oracle Application Server 11g, у которого скоро истекает срок действия сертификата. Отбросив в сторону тот факт, что 10g кажется новейшей версией, я получил сертификат от InCommon, как я обычно делаю без проблем (за исключением того, что я впервые предоставил Oracle Application Server 11g в качестве типа программного обеспечения в форме CSR). В электронном письме, содержащем ссылки для загрузки сертификата, упоминалось:

Детали сертификата:

Тип SSL: Обычный SSL

Сервер: ДРУГОЙ

Я отправил электронное письмо лицу, ответственному за его установку, и получил ответ, что для работы сертификата тип сервера должен быть Oracle Application Server (CN такой же, как и раньше). Они не смогли установить этот сертификат (мне не предоставили никаких подробностей) и упомянули, что у них была эта проблема ранее с Thawte, когда они не предоставили Oracle Application Server в качестве типа сервера. Я не вижу существенной разницы между установленным в настоящее время сертификатом (работающим) и новым, который я только что подписал с помощью InCommon (не работает).

$ openssl x509 -in sso-current.cer -text

отображается с опущенной нерелевантной информацией.

Data:
    Version: 3 (0x2)
Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
    Validity
        Not Before: Oct  1 00:00:00 2009 GMT
        Not After : Nov 28 23:59:59 2012 GMT
    Subject Public Key Info:
        Public Key Algorithm: rsaEncryption
            Public-Key: (2048 bit)
            Modulus:
            Exponent: 65537 (0x10001)
    X509v3 extensions:
        X509v3 Basic Constraints: critical
            CA:FALSE
        X509v3 CRL Distribution Points: 

            Full Name:
              URI:http://crl.thawte.com/ThawteServerPremiumCA.crl

        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication
        Authority Information Access: 
            OCSP - URI:http://ocsp.thawte.com

Signature Algorithm: sha1WithRSAEncryption

и

$ openssl x509 -in sso-new.cer -text

показывает

Data:
    Version: 3 (0x2)
Signature Algorithm: sha1WithRSAEncryption
    Issuer: C=US, O=Internet2, OU=InCommon, CN=InCommon Server CA
    Validity
        Not Before: Nov  8 00:00:00 2012 GMT
        Not After : Nov  8 23:59:59 2014 GMT
    Subject Public Key Info:
        Public Key Algorithm: rsaEncryption
            Public-Key: (2048 bit)
            Modulus:
            Exponent: 65537 (0x10001)
    X509v3 extensions:
        X509v3 Authority Key Identifier: 
            keyid:48:4F:5A:FA:2F:4A:9A:5E:E0:50:F3:6B:7B:55:A5:DE:F5:BE:34:5D

        X509v3 Subject Key Identifier: 
            18:8D:F6:F5:87:4D:C4:08:7B:2B:3F:02:A1:C7:AC:6D:A7:90:93:02
        X509v3 Key Usage: critical
            Digital Signature, Key Encipherment
        X509v3 Basic Constraints: critical
            CA:FALSE
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication
        X509v3 Certificate Policies: 
            Policy: 1.3.6.1.4.1.5923.1.4.3.1.1
              CPS: https://www.incommon.org/cert/repository/cps_ssl.pdf

        X509v3 CRL Distribution Points: 

            Full Name:
              URI:http://crl.incommon.org/InCommonServerCA.crl

        Authority Information Access: 
            CA Issuers - URI:http://cert.incommon.org/InCommonServerCA.crt
            OCSP - URI:http://ocsp.incommon.org

Мне ничего не приходит в голову как причина того, что один не будет работать, поэтому у меня нет конкретного запроса для подписывающей стороны о том, что делать по-другому при повторной подписи.

Попробуй это:

openssl x509 -in sso-current.cer -outform DER -out sso-fixed.cer

У вас есть сертификат в формате PEM в .cer файл.

И переименовать sso-current.cer к sso-current.pem.