Вопросы Теги

Импорт цепочки сертификата PEM и ключа к Java Keystore

Скорее всего, кто-то сканирующий Ваш сайт для нахождения общие инструменты они могут использовать, и возможно общие уязвимости.

Это происходит все th время. Это не означает, что кто-то нацелен на Ваш сайт конкретно. Вы не должны быть взволнованы, защитили ли Вы свой сайт:

  • все версии актуальны: сервер, приложение, и т.д.
  • все административные средства (phpmyadmin, пользовательский, и т.д.) доступны от 127.0.0.1 только (используйте туннель SSH для доступа к нему от клиента),
  • никакое Внедрение SQL, пароль по умолчанию, файл журнала, доступный для мира, и т.д.

Существует сканирование, продолжающее все время найти уязвимые серверы.

ОБНОВЛЕНИЕ: Сделайте любое административное средство и / администратора, доступного 127.0.0.1 только (в Вашем конфигурационном файле Apache, например)

Затем создайте туннель SSH для перенаправления удаленного 127.0.0.1:80 к локальной машине (порт 8000, например):

ssh user@server.com -L8000:localhost:80

При использовании Windows Шпаклевка позволяет Вам сделать то же самое.

Затем можно получить доступ к/phpmyadmin с http://localhost:8000/phpmyadmin

Это удостоверяется, чем/phpmyadmin не доступен какому-либо IP, если они не могут также SSH к Вашему полю.

29
задан 28 February 2013 в 18:17
3 ответа

Возможно, это не идеально, но у меня были заметки об использовании keytool , которые я изменил для вашего сценария.

  1. Импортируйте корневой или промежуточный CA сертификат для существующего хранилища ключей Java: 

     keytool -import -trustcacerts -alias root -file ca_geotrust_global.pem -keystore yourkeystore.jks
keytool -import -trustcacerts -alias root -file intermediate_rapidssl.pem -keystore yourkeystore.jks

  2. Объедините сертификат и закрытый ключ в один файл перед импортом. 

     cat certificate.pem privatekey.pem> Commander.pem

    В результате должен получиться файл, похожий на формат ниже.

    НАЧАТЬ СЕРТИФИКАТ
    ...
    КОНЕЧНЫЙ СВИДЕТЕЛЬСТВО
    НАЧАТЬ ЧАСТНЫЙ КЛЮЧ RSA
    ...
    КОНЕЦ ЧАСТНОГО КЛЮЧА RSA

  3. Импортируйте подписанный первичный сертификат и ключ в существующее хранилище ключей Java: 

     keytool -import -trustcacerts -alias yourdomain -file Combined.pem -keystore yourkeystore.jks
26
ответ дан 28 November 2019 в 19:59

keytool не позволяет импортировать сертификат + закрытый ключ из одного (комбинированного) файла, как было предложено выше. Он работает нормально, но импортируется только сертификат, а закрытый ключ игнорируется. Вы можете проверить это с помощью keytool -list -v -keystore yourkeystore.jks - тип записи yourdomain - TrustedCertEntry, а не PrivateKeyEntry.

Итак, чтобы решить исходную проблему, сначала нужно создать хранилище ключей PKCS # 12 используя openssl (или аналогичный инструмент), затем импортируйте хранилище ключей с помощью keytool -importkeystore .

8
ответ дан 28 November 2019 в 19:59

Сконцентрируйте все *.pem файлы в одном pem файле, как и all.pem. Затем создайте клавиатуру в формате p12 с закрытым ключом + all.pem

openssl pkcs12 -export -inkey private.key -in all.pem -name test -out test.p12

, затем экспортируйте p12 в jks 

keytool -importkeystore -srckeystore test.p12 -srcstoretype pkcs12 -destkeystore test.jks
42
ответ дан 28 November 2019 в 19:59

Теги

Похожие вопросы