[linux-support] Java-Zertifikat-Fehler [SOLVED]

Theo Schmidt sus2006 at bluewin.ch
Fri Jul 12 09:02:11 CEST 2019


Am 11.07.2019 um 23:23 schrieb Markus Wernig:
> On 7/11/19 10:34 PM, Theo Schmidt wrote:
> 
>> Mein Susi kennt kein keytool, auch die Repositories nicht. Alternative?
> 
> keytool gehört eigentlich zur Standard-Java-JRE (Alternativen gibt es
> eigentlich nmE. nicht, ausser du schreibst selber eine). Bei dir könnte
> es also unter $JAVA_HOME/jre/bin/keytool bzw.
> /usr/java/latest/bin/keytool zu finden sein.

Genau dort ist es und lässt sich in diesem Verzeichnis mit ./keytool ...
verwenden. Offenbar wusste Bash nichts davon, und auch nicht Suse's
Yast. Hier nochmals:


Am 11.07.2019 um 12:11 schrieb Markus Wernig:
...
> 1) Werde root mittels sudo -i
>
> 2) Finde den Java-Truststore. Normalerweise ist das das File
> $JAVA_HOME/jre/lib/security/cacerts
>
> 3) Liste die dort installierten Zertifikate mittels folgndem Kommando:
>
> keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts
> (Das Standard-Passwort lautet "changeit").

Listet 78 Zertifikat-Fingerprints.

> 4) Vergleiche, ob das Root-CA-Zertifikat, das OSM verwendet, auf
> dieser Liste tatsächlich fehlt (falls es schon vorhanden ist,
> liegt das Problem woanders)
> Falls die von gpsprune verwendete Seite "www.openstreetmap.org" ist,
> sollte folgendes Kommando den Fingerprint des Root-CA-Zerts (O=Digital
> Signature Trust Co., CN=DST Root CA X3) finden:
>
> keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts | grep -i
> DA:C9:02:4F:54:D8:F6:DF:94:93:5F:B1:73:26:38:CA:6A:D7:7C:13
>
> Output:
> Certificate fingerprint (SHA1):
> DA:C9:02:4F:54:D8:F6:DF:94:93:5F:B1:73:26:38:CA:6A:D7:7C:13

Ja, fehlte.


> 5) Falls das Zertifikat wirklich fehlt (d.h. obiges Kommando nichts
> findet), kannst du es in den Truststore importieren:
>
> 6) Backup des alten Keystores machen:
>
> cp $JAVA_HOME/jre/lib/security/cacerts $HOME/cacerts.bak
>
> 7) Root-CA-Zert herunterladen (z.B. mittels Firefox ->
> https://www.openstreetmap.org -> klick auf das grüne Schloss neben der
> URL -> Show connection details -> More information -> View certificate
> -> Details -> "DST Root CA X3" anklicken -> Export) und lokal speichern
> (z.B. /tmp/DSTRootCAX3.crt).

Geht auf dem Linux-Firefox. Der Android-Firefox kann das nicht.


> 8) keytool -import -alias dstrootx3 -file /tmp/DSTRootCAX3.crt
> -keystore
> $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
> [Return]
>
> Trust this certificate: [Yes]


Zur Kontrolle Schritt 4) wiederholt, nun i.O.

> Dann mal gpgprune neu starten.

Geht! Markus, du bist ein Magier!

Wo liegt nun der "Fehler", d.h. liegt es nur an meinem uralten System
(2013)?

Liebe Grüsse,
Theo



More information about the Linux-support mailing list