web-dev-qa-db-ja.com

修正方法:サーバーにインストールされているルート。サーバーから自己署名ルートを削除する

CENT OSサーバーがあり、アプリはApache Tomcatでホストされています。 SSL証明書についてはあまり知りませんが、設定するために以下を行いました

1-キーストアファイルを生成

keytool -genkey -alias -keyalg RSA -keysize 2048 -keystore -sigalg SHA256withRSA

2-CSRを生成

keytool -certreq -alias -file -keystore -sigalg SHA256withRSA

-インポート

cSRに対してSymantecから提供されたp7bファイルをダウンロードし、証明書をインポートした

keytool -import -alias -trustcacerts -file -keystore

すべて正常に動作しますが、シマンテックのSSLツールボックスは次の警告を表示しています

推奨事項:サーバーにインストールされているルート。ベストプラクティスとして、サーバーから自己署名ルートを削除します。

この警告を回避するためにルートをサーバーからアンインストール/削除するにはどうすればよいですか?

4
Haris Hasan

ルート自己署名証明書をTomcatから削除するには、Javaインストールから証明書を削除する必要があります。このアクションは、Java jdkインストール内のbinフォルダーにある実行可能なkeytoolバイナリーを介して実行されます。

Tomcatから自己署名証明書を削除するために使用する必要があるオプションは次のとおりです。

keytool -delete -noprompt -alias ${cert.alias} -keystore ${keystore.file} -storepass ${keystore.pass}

たとえば、自分のマシンにインストールしたTomcatという自己署名証明書を削除するには、以下を使用する必要がありました。

"%Java_HOME%\bin\keytool" -delete -noprompt -alias Tomcat

詳細:

https://docs.Oracle.com/javase/6/docs/technotes/tools/windows/keytool.html

1

私が見つけた唯一のものは この記事 であり、基本的には「ブラウザは有料の証明書を受け取り、自己署名証明書も取得する」と述べ、それを理解するのは彼らの仕事です。

私見、Symanticの製品は、野生のガチョウの追跡に私の時間を無駄にしました。彼らはまた、RC4でBEASTを修正することをお勧めします(私はそう思います)、これは推奨されません。ブラウザはBEASTを修正しています。

BEAST
The BEAST attack is not mitigated on this server.
Root installed on the server.
For best practices, remove the self-signed root from the server.

代わりにこのサービスをお勧めします: https://www.ssllabs.com/ssltest/analyze.html

彼らの修復記事は非常に役に立ちます。

これ は、nginxのセットアップに使用した記事です。 A +を取得するには1つの変更が必要でした

1
Michael Cole