Zum Inhalt springenZur Hauptnavigation springenZur Suche springen

CA-Zertifikate für Java installieren

Die Installation von Zertifikaten für Java ist für Studierende im Normalfall nicht erforderlich.

Download

Downloaden Sie die nachfolgenden Zertifikate und speichern Sie sie in einem temporären Verzeichnis (z.B. C:\Temp oder /tmp) mit dem hier angegebenen Namen ab:

telekom.crt

https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/rootcert.crt

dfn.crt

https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/intermediatecacert.crt
 

hsm-ca.crt

https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/cacert.crt
 

iukca3.crt

Download aus CMS
 

zefica.crt

Download aus CMS
 

 

Klicken Sie hierzu die Links mit der rechten Maustaste an und wählen Sie im Kontextmenü "Ziel speichern unter ...".

Keystore-Datei ermitteln

Die von Java benutzten CA-Zertifikate werden in einer Datei cacerts gespeichert, die sich im Java-Installations-Directory befindet.

Wurde z.B. Java JRE 1.7.0.51 nach /usr/local/jre1.7.0_51 installiert, ist das Java-Binary die Datei /usr/local/jre1.7.0_51/bin/java und der Keystore die Datei /usr/local/jre1.7.0_51/lib/security/cacerts.

Zertifikate im Keystore anzeigen

Mit

 

keytool -list -keystore /usr/local/jre1.7.0_51/lib/security/cacerts

werden die bereits vorhandenen Zertitikate angezeigt.

Abgleich anhand der Fingerprints

Mit

 

openssl x509 -noout -fingerprint -in /.../telekom.pem
openssl x509 -noout -fingerprint -in /.../dfn.pem
openssl x509 -noout -fingerprint -in /.../hsm-ca.pem
openssl x509 -noout -fingerprint -in /.../iukca3.pem
openssl x509 -noout -fingerprint -in /.../zefica.pem

werden Fingerprints der Zertifikate angezeigt. Diese Fingerprints können mit den Fingerprints der bereits vorhandenen Zertifikate verglichen werden. Damit können Sie ermitteln, welche der Zertifikate noch fehlen und noch importiert werden müssen.

Zertifikate importieren

Mit

 

keytool -import -trustcacerts -alias telekom -file /.../telekom.pem -keystore /.../lib/security/cacerts
keytool -import -trustcacerts -alias dfnpkica -file /.../dfn.pem -keystore /.../lib/security/cacerts
keytool -import -trustcacerts -alias fhsca -file /.../hsm-ca.pem -keystore /.../lib/security/cacerts
keytool -import -trustcacerts -alias iukca3 -file /.../iukca3.pem -keystore /.../lib/security/cacerts
keytool -import -trustcacerts -alias zefica -file /.../zefica.pem -keystore /.../lib/security/cacerts

werden die Zertifikate importiert.

Das voreingestellte Passwort für Java-Keystores lautet "changeit". Unter Windows sollten Sie dies ändern. Unter Linux sollten Sie das Passwort beibehalten, damit die Paketverwaltung die Zertifikate bearbeiten kann, aber die Datei cacert sollte nur für root schreibbar sein.