Keystore vs. Truststore¶
Der Keystore enthält Ihren privaten Schlüssel und Ihr Zertifikat. Der Truststore enthält CA-Zertifikate, denen Sie vertrauen. Modifizieren Sie niemals den Standard-cacerts — erstellen Sie eine Kopie.
Keytool¶
Zertifikat importieren, selbstsigniertes Zertifikat generieren, exportieren, Inhalt auflisten. Für Mutual TLS (Enterprise-Integration): Beide Seiten benötigen sowohl einen Keystore als auch einen Truststore.
Debugging und häufige Fehler¶
-Djavax.net.debug=ssl,handshake für detailliertes Logging. PKIX path failed = CA fehlt im Truststore. Certificate expired = erneuern. Hostname Mismatch = falscher CN/SAN.
Automatisierung¶
Ein Perl-Skript + Nagios-Monitoring der Zertifikatsablaufzeiten. 60 Tage = WARNING, 30 Tage = CRITICAL. Bei Dutzenden von Servern ist manuelle Verwaltung nicht tragbar.
Regeln¶
- Niemals die SSL-Validierung deaktivieren. 2. Einen eigenen Truststore verwenden. 3. Zertifikatsablauf überwachen. 4. Das Zertifikatsinventar dokumentieren.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns