【问题标题】:apigee key store and certificate upload issuesapigee 密钥存储和证书上传问题
【发布时间】:2014-02-07 16:21:28
【问题描述】:

在我的免费试用帐户 (cvtf1) 上,我有一个密钥库,它使用自签名证书几个月以来一直运行良好。我今天尝试通过上传客户端密钥和证书来创建一个新的密钥库(Bca ...)。但上传失败: 上传密钥

{
  "code" : "messaging.config.beans.CertNotFound",
  "message" : "Cert with name : /tmp/extract6784335744378261087.tmp/myCert.pem not found in key store : {1} in env : {2}",
  "contexts" : [ ]
}

请注意,我已检查 JAR 上传是否有效。如果我通过应用相同的进程(和名称)将我的新证书 + 密钥替换为旧证书,它可以正常工作。

不同之处在于证书:

旧的工作正常:

  Public Key Algorithm: rsaEncryption - Public-Key: (1024 bit)
  Signature Algorithm: sha1WithRSAEncryption
  Valid for ten years

新的 - 失败:

  Public Key Algorithm: rsaEncryption - Public-Key: (2048 bit)
  X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: critical
                TLS Web Client Authentication
  Signature Algorithm: sha256WithRSAEncryption
  Valid for one day

我尊重 2048 位的限制。失败有什么原因吗?

另一个问题:Apigee 代理和目标端点之间是否支持 TLS 1.2?

提前感谢您的回复。

问候

Fr

【问题讨论】:

    标签: keystore apigee


    【解决方案1】:

    Apigee Edge 支持最大 2048 位的密钥大小。

    您可以执行以下 openssl 命令来验证证书的 md5 和密钥是否相同:

    openssl x509 -noout -modulus -in certificate.crt | md5 openssl rsa -noout -modulus -in privateKey.key | md5

    如果 md5 相同,则密钥属于证书。

    【讨论】:

    • 我尝试上传相同的 2048 位证书,有效期为一天,并且能够成功地将 jar 上传到密钥库。因此,证书的有效性或位数似乎不是这里的问题。您能否将证书和密钥传递给 divya@apigee.com,以便我进一步调查原因。
    【解决方案2】:

    Apigee Edge 当前使用不支持 TLS 1.2 的 Java 6。确认这一点的最佳方法是使用新证书尝试 TLSv1。

    【讨论】:

    • 感谢您的回复。所以不会使用 TLS 1.2。需要将我的后端实现降级到 TLS1.1。
    【解决方案3】:

    在“jar”内的descriptor.properties 中,您是否仅指定了证书文件名或完整路径?可以不指定路径只指定证书和私钥文件名吗?

    亲切的问候,

    PB

    【讨论】:

    • 我的存档描述:META-INF/ META-INF/MANIFEST.MF myCert.pem myKey.pem META-INF/descriptor.properties 和描述符包含 cert=myCert.pem 和 key=myKey。佩姆
    【解决方案4】:

    对所有人: - 在 jar 中:2 个文件 => 证书和密钥 - 文件是 myCert.pem 和 myKey.pem(在 META INF / Descriptor 中指定) - 当使用 1024 大小时,构建的存档与证书和密钥一起工作正常(所以我相信我的构建过程是有效的) - 对于证书/密钥 md5 唯一性:有效。我总是检查 (openssl x509 -noout -modulus -in myCert.pem | openssl md5 ; openssl rsa -noout -modulus -in myKey.pem | openssl md5) |独特的 - 感谢您对 TLS1.2 的回答。

    问题似乎与证书文件的上传有关。当我上传这样的证书时,由于证书 TTL(一天)的限制,会不会出现“找不到”?

    问候

    Fr

    【讨论】:

      【解决方案5】:

      主题关闭 - 发现问题 - 以 OID 作为长整数的扩展属性是根本原因

      【讨论】:

        猜你喜欢
        • 2011-11-09
        • 2013-05-27
        • 1970-01-01
        • 2013-03-30
        • 2020-10-03
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2011-08-17
        相关资源
        最近更新 更多