F�rum Keytool - Problema ao importar certificado para o KeyStore #569064

09/04/2009

Pessoal, Na empresa onde trabalho utilizamos o httpclient para realizar algumas opera��es de monitoramento em p�ginas web. Nos casos onde a aplica��o responde via https, precisamos importar (utilizando o Keytool) o certificado (arquivo .cer obtido clicando no cadeado do browser) ao KeyStore (arquivo cacerts), para que o httpclient consiga realizar as requisi��es. Na maioria do certificados funciona tudo bem. Mas tem alguns certificados que acontece de n�o conseguirmos importar, pois ocorre uma exce��o. Vejam abaixo: Comando para importa��o do certificado:

/usr/lib/j2sdk1.5-sun/jre/bin/keytool -import -alias aliasdocertificado -file /tmp/arquivo.cer -keystore arquivocacerts -storepass senhadostore

Exce��o:

keytool error: java.security.SignatureException: Signature does not match.

Gostaria de saber se algu�m conhece uma solu��o para este problema... Obrigado, Jean Pierobom

Jean Pierobom

Curtir t�pico

+ 0

Responder

Posts

09/04/2009

Paulo Jr

Ol�, Tbm tive este problema com um servidor de homologa��o na empresa que trabalho, o certificado do servidor de produ��o importava sem problemas, mas o de homologa��o dava esse erro. No meu caso o problema estava no certificado, foi s� gerar novamente o certificado para o servidor com o openssl e instalar no apache que deu certo a importa��o no cliente depois. At�. Paulo.

Responder

Gostei + 0

09/04/2009

Paulo Jr

Paulo, Mas me diz uma coisa... Voc� estava tentando importar o certificado de um servidor (o de produ��o) em outro servidor (o de homologa��o)? Pq no meu caso, o certificado foi gerado no pr�prio servidor (utilizando o openssl). Obrigado, Jean Pierobom

Responder

Gostei + 0

09/04/2009

Paulo Jr

Pessoal,

Criei uma classe de teste. Ela carrega o certificado (arquivo .cer) e utiliza o m�todo java.security.cert.Certificate.verify(PublicKey arg0) (que verifica se a assinatura foi feita utilizando a chave privada que corresponde � chave p�blica passada como par�metro).

CertificadoSSLLoader 

import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;

import javax.security.cert.CertificateException;
import javax.security.cert.X509Certificate;

public class CertificadoSSLLoader {

	public static X509Certificate load(String cerFileName) throws CertificateException {
		File file = new File(cerFileName);
		FileInputStream fis;
		try {
			fis = new FileInputStream(file);
		} catch (FileNotFoundException e) {
			throw new IllegalArgumentException("Arquivo " + cerFileName + " n�o existe.");
		}
		X509Certificate certificado = X509Certificate.getInstance(fis);
		return certificado;
	}
}


 TestaValidadeCertificadoSSL 
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.NoSuchProviderException;
import java.security.SignatureException;

import javax.security.cert.CertificateException;
import javax.security.cert.X509Certificate;

public class TestaValidadeCertificadoSSL {

	public static void main(String[] args) {
		try {
			X509Certificate certificado = CertificadoSSLLoader.load("certificado.cer");
				certificado.verify(certificado.getPublicKey());
		} catch (InvalidKeyException e) {
			System.out.println("Chave inv�lida.");
			e.printStackTrace();
		} catch (NoSuchAlgorithmException e) {
			System.out.println("Algoritmo inv�lido.");
			e.printStackTrace();
		} catch (NoSuchProviderException e) {
			System.out.println("Provedor inv�lido.");
			e.printStackTrace();
		} catch (SignatureException e) {
			System.out.println("Assinatura inv�lida.");
			e.printStackTrace();
		} catch (CertificateException e) {
			System.out.println("Ocorreu um erro ao carregar o certificado");
			e.printStackTrace();
		}
	}
}


 A sa�da deste programa, como esperado, � a mesma do keytool: 
Assinatura inv�lida.
java.security.SignatureException: Signature does not match.
	at sun.security.x509.X509CertImpl.verify(Unknown Source)
	at sun.security.x509.X509CertImpl.verify(Unknown Source)
	at com.sun.security.cert.internal.x509.X509V1CertImpl.verify(Unknown Source)
	at TestaValidadeCertificadoSSL.main(TestaValidadeCertificadoSSL.java:16)



 O que mais me chamou aten��o at� aqui foi o coment�rio javadoc do m�todo. 
abstract void verify(PublicKey key)  
    Verifies that this certificate was signed using the private key that corresponds to the specified public key. 


 Isto me leva a crer que que h� grandes chances de ser algum problema ocorrido no momento da gera��o do certificado no servidor do site.

Clareou para algu�m?

Obrigado,
Jean Pierobom

Responder

Gostei + 0

09/04/2009

Paulo Jr

Pessoal, O certificado foi gerado novamente e a importa��o foi realizada com sucesso. Obrigado � todos, em especial ao Paulo que me ligou (grande coincid�ncia pois trabalhamos na mesma empresa e eu n�o sabia!) e passou o caminho das pedras. Obrigado, Jean Pierobom

Responder

Gostei + 0

12/08/2009

Wellington Carvalho

OL�.. tb estou gerando certificado com openssl, e estou tendo problemas... da um erro : javax.security.cert.CertificateException: Could not parse certificate: java.io.IOException: DerInputStream.getLength(): lengthTag=109, too big. vc ja viu isso ? to bem enrolado ... ja tentei gerar o certificado novamente mas num tive sucesso... usei este tutorial.. http://suporte.softwell.com.br/maker/manual/dicas_e_truques/certificacao_digital_ambiente_webrun.htm c puder me ajudar agradesco.. vc ja viu este erro antes, como corrigiu ?

Responder

Gostei + 0

14/08/2009

Wellington Carvalho

Tom, desculpe mas vou ficar devendo... At� pesquisei por algo mas n�o encontrei nada. Acredito que seja algum problema relacionado � gera��o do certificado mesmo. At� mais,

Responder

Gostei + 0