Ich habe mehrere verschiedene Server, auf denen verschiedene Softwarepakete laufen, die von mehreren internen Teams entwickelt wurden. Während sie versuchen, ihre Anwendungen über Webanrufe zu verbinden, stellen wir fest, dass Java der von uns verwendeten kommerziellen Zertifizierungsstelle (Comodo) nicht zu vertrauen scheint. Die Lösung scheint darin zu bestehen, die Stamm- und Zwischenzertifikate für jede Java-Instanz in den Schlüsselspeicher zu importieren, aber ich finde keine gute Möglichkeit, dies zu automatisieren. Es scheint manuell pro Instanz zu erfolgen.
Kann mir jemand eine Methode zeigen, wie ich das im Großhandel machen kann?
Antwort1
Sie möchten ein Zwischenzertifikat und kein Stammzertifikat. Es ist mit einem Zertifikat signiert, das Java erkennt (vermutlich von Ihrem Betriebssystemanbieter bereitgestellt), sodass Ihre Java-App das erforderliche Zwischenzertifikat einfach herunterladen kann, wenn es fehlt. Das Herunterladen über HTTP ist in Ordnung, da Sie überprüfen, ob der Inhalt mit einem bekannten Stammzertifikat signiert wurde.
Wenn Sie das Zertifikat von außerhalb Ihrer App verteilen möchten, brauchen Sie ein Konfigurationsverwaltungstool. Beliebte Optionen sind beispielsweise Puppet, Chef, Ansible und Salt.
Wenn dies das Einzige ist, was Sie verwalten möchten, ist Ansible wahrscheinlich am einfachsten einzurichten. Ich empfehle Ihnen jedoch, sich etwas Zeit zu nehmen, um darüber nachzudenken, ob Sie in Ihrer Umgebung das Konfigurationsmanagement umfassender nutzen sollten.