Viszont szertettem volna (ill muszaj) ssl-t tenni a kommunikacio ala, mert hogy igy kodolatlanul mennek a passwordok.

 

Itt jonnek a borzalmak. A servernek ugyanis nincs hostneve, csak ip cime.

("Change Certificate’s Subject Alternative Value: If you’re connecting to your host by using IP address, then you must change the subject alternative value to your IP address value.")

A kliensnel ott van a keystore.jks, amiben ott van a ket cert, amit a server is hasznal. (glassfish az alkalmazasszerver. a keystore.jks ben van ket cert. Az aliasuk s1as es glassfish-instance).

Ha annak rendje-modja szerint a jdk keytool programjaval megcsinalom a kliens keystore.jks-et, a java kliens azert reklamal, hogy kell neki az alternate name. Tehat ilyenkor a certnek kell tartalmaznia egy ilyesmit:

[ req_ext ]
subjectAltName          = @alt_names
[alt_names]
DNS.1   = ideIromAzIPCimet

 

Ez a feni reszlet viszont a az openssl conf filejanak egy reszelet, ugyanis a keytool-lal nem lehet altName-t beletenni a certbe. (aszongyak a kozertben)

 

Tehat a keytool helyett kenytelen vagyok openssl-t hasznalni, majd az openssl altal keszitett cuccost a keytoollal importalni

(keytool -importkeystore -srckeystore server.pkcs12 -destkeystore keystore.jks -srcstoretype pkcs12)

 

Nna az a vege, hogy megvan a keystore, benne a ket cert megfelelo aliasokkal. Ezt viszont mar a glassfish nem eszi meg.

Itt meg mar valoban elakadtam, hiaba bujtam a netet egy heten keresztul. Abban remenykedem, itt csinalt mar v.ki ilyesmit, azaz hogy host nevvel nem rendelkezo serverrel epitett ki ssl kapcsolatot, es mond valami biztatot.

Koszi.