Zum Inhalt springen

Root-Zertifikat in Java-TrustStore importieren

Inhalt [ Verbergen ]

Für bestimmte Konstellation, zum Beispiel bei der Anbindung eines LDAP-Servers, kann es nötig sein, das Root-Zertifikat oder das Root- und Intermediate-Zertifikate, mit denen das Zertifikat des anderen Servers erstellt wurde, im Java-TrustStore zu importieren.

Root-Zertifikat importieren

Hierzu wird das Tool keytool verwendet, welches normalerweise von der verwendeten Java-Installation im bin-Verzeichnis bereitgestellt wird. 

Beim Aufruf des Tools werden die folgenden Parameter verwendet, welche an die eigene Umgebung angepasst werden müssen:

"Root CA Name"
Im TrustStore verwendeter Alias für das Root-Zertifikat. Dieses kann frei gewählt werden, es darf nur nicht bereits ein anderes Zertifikat mit gleicham Alias im TrustStore geben. 
"RootZertifikat.cer"
Name vom (und ggf. Pfad zum) zu importierenden Zertifikat
"Pfad-Zum-Zertifikatsstore"
Voller Pfad zum Java-TrustStore. Hierbei ist zu beachten, dass bei System, auf denen mehrere Java-Versionen installiert sind, der TrustStore des Javas verwendet wird, welches der Application Servers nutzt, der Xima® Formcycle ausführt. Ein voller Pfad kann zum Beispiel wie folgt aussehen: 
"C:\Program Files\AdoptOpenJDK\jdk-11.0.9.101-hotspot\lib\security\cacerts"
Bitte beachten Sie, dass je nach Betriebssystemumgebung und Installationsart und -typ des eingesetzten Javas der Pfad deutlich anders sein kann. Insbesondere unter Linux wird aus dem Java-Installationsordner zum Teil nur mit einem Symbolischen Link auf die echte Position des TrustStores verwiesen.

Der Auszuführende Befehl lautet:

keytool -import -trustcacerts -alias "Root CA Name" -file "RootZertifikat.cer" -keystore "Pfad-Zum-Zertifikatsstore"

Intermediate-Zertifikat importieren

Wenn das Zertifikat, welchem vertraut werden soll, über ein Intermediate-Zertifikat ausgestellt wurde, muss dieses gegebenenfalls auch importiert werden. Dies ist genau dann nötig, wenn dieses Intermediate-Zertifikat nicht vom Server bereitgestellt wird, mit dem die Verbindung aufgebaut werden soll. Der Import erfolgt analog dem Root-Zertifikat mit folgenden Parametern:

"Root CA Name"
Im TrustStore verwendeter Alias für das Root-Zertifikat. Dieses kann frei gewählt werden, es darf nur nicht bereits ein anderes Zertifikat mit gleicham Alias im TrustStore geben. 
"RootZertifikat.cer"
Name vom (und ggf. Pfad zum) zu importierenden Zertifikat
"Pfad-Zum-Zertifikatsstore"
Voller Pfad zum Java-TrustStore. Hierbei ist zu beachten, dass bei System, auf denen mehrere Java-Versionen installiert sind, der TrustStore des Javas verwendet wird, welches der Application Servers nutzt, der Xima® Formcycle ausführt. Ein voller Pfad kann zum Beispiel wie folgt aussehen: 
"C:\Program Files\AdoptOpenJDK\jdk-11.0.9.101-hotspot\lib\security\cacerts"
Bitte beachten Sie, dass je nach Betriebssystemumgebung und Installationsart und -typ des eingesetzten Javas der Pfad deutlich anders sein kann. Insbesondere unter Linux wird aus dem Java-Installationsordner zum Teil nur mit einem Symbolischen Link auf die echte Position des TrustStores verwiesen.
keytool -import -trustcacerts -alias "Root CA Name" -file "RootZertifikat.cer" -keystore "Pfad-Zum-Zertifikatsstore"

Passwort des Java-TrustStores

Sofern keine Änderung am Passwort vorgenommen wurde, wird in den meisten Umgebungen das Standard-Passwort changeit verwendet.