2

I created a self signed certificate but the browser tells me "This CA Root Certificate is not trusted. To enable trust, install this certificate in the Trusted Root Certification Authorities store".

I did by going into IE --> Internet Options --> Content --> Certificates --> ect... I actually had to export the self signed certificate and then import it into the Trusted Root Certification. Only after the certificate was located under the ROOT store in the users machine that IE did not display any WARNINGS.

This will be deployed in a production environment, so having the users manually do the above steps is unacceptable.

How can I automatically do this? I just want them to accept and not have that "Certificate Error" and have the URL bar turned "RED" in IE.

I'm using Tomcat 5.5. I also followed the same steps as in the Tomcat SSL How To Tutorial http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

Thanks in advance.

4

3 に答える 3

4

Java 6 は、SunMSCAPI という名前の暗号化プロバイダーを提供して、Windows 暗号化ライブラリー API にアクセスします。このプロバイダーは、すべてのトラスト アンカー証明書を含むキーストア "Windows-Root" を実装します。

このキーストアに証明書を挿入することができます。

KeyStore root = KeyStore.getInstance("Windows-ROOT");
root.load(null);
/* certificate must be DER-encoded */
FileInputStream in = new FileInputStream("C:/path/to/root/cert/root.der");
X509Certificate cacert = (X509Certificate)CertificateFactory.getInstance("X.509").generateCertificate(in);
root.setCertificateEntry("CACert Root CA", cacert);

ユーザーは確認を求められます。ユーザーが操作をキャンセルすると、KeyStoreException がスローされます。

プロバイダーに関するいくつかの技術情報は、http: //download.oracle.com/javase/6/docs/technotes/guides/security/SunProviders.html#SunMSCAPIにあります。

于 2011-03-13T07:38:27.997 に答える
1

考えてみてください。これが可能であるとしたら、詐欺サイトが同じことをして、自分のサイトが信頼されているように見せかけるのを防ぐにはどうすればよいでしょうか。重要なのは、ユーザーが証明書のインストールをOKする必要があるということです。

于 2011-03-10T02:44:47.040 に答える
1

まず第一に、これを行う可能性はユーザーのセキュリティを危険にさらすことになるため、セキュリティ ホールになるため、いや、これを行う簡単な方法はありません。

次に、異なるソフトウェアには異なる証明書ストアがあります。Microsoft と Chrome ブラウザーは CryptoAPI ストアを使用し、Firefox には独自のストアがあります (Chrome は、Firefox の 1 つの AFAIK も使用できます)。Adobe のソフトウェアには独自のストアがあります (CryptoAPI ストアに加えて)。

于 2011-03-10T16:45:21.830 に答える