[RBG-Logo]
RechnerBetriebsGruppe
   
 
Achtung:    Die Informationen auf dieser Seite sind weitestgehend obsolet. Aktuelle Informationen finden sie hier.

[an error occurred while processing this directive]
[Downloads] [Anweisungen] [Links]

RBG-CA Zertifikate und der Java Keystore


Diese Dokument ist veraltet. Das Wurzel-Zertifikat 2. Generation der RBG-CA ist 2048 Bit lang, und daher besser verträglich mit der Standard JCE Implementierung.

Das Problem

Die JavaTM Cryptography Extension (JCE) unterstützt RSA-Keys nur bis einer Schlüssellänge von 2048bit. Das Wurzel-Zertifikat der RBG-CA hat jedoch eine Länge von 4098bit. Beim Versuch das Zertifikat mit keytool zu importieren kommt daher ein Fehler.

Betroffen sind alle JCE-Implementierung von SUN, inkl. die bei J2SE 1.4.2 mitgeliefert wird.

In den man auf eine JCE-Implementierung von Drittanbietern zurückgreift kann man die Einschränkung bei der Schlüssellänge umgehen.

In dieser Anleitung wird als Ersatz die frei verfügbare Bouncy Castle Crypto APIs vorgeschlagen, es sollte jedoch mit anderen JCE-Implementierungen ähnlich funktionieren.

Benötigte Dateien

Folgende Dateien werden benötigt:
  1. Den JCE-Provider der "Bouncy Castle Crypto APIs": bcprov-jdk14-123.jar von http://www.bouncycastle.org/latest_releases.html
  2. "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 1.4.2": jce_policy-1_4_2.zip von http://java.sun.com/j2se/1.4.2/download.html

Anweisungen für die Installation

Die Anweisung wurde für die Java 2 Platform, Standard Edition (J2SE) Version 1.4 erstellt.

  1. Zuerst sollte die Umgebungsvariable $JAVA_HOME gesetzt werden. In ihr wird das Java Installationsverzeichnis gespeichert. Unter Solaris 9 ist das üblicherweise /usr/j2se.
  2. Die Datei bcprov-jdk14-120.jar in das Verzeichnis $JAVA_HOME/jre/lib/ext kopieren
  3. In das Verzeichnis $JAVA_HOME/jre/lib/security wechseln. und dort die Datei jce_policy-1_4_2.zip auspacken. Vorsicht, die bereits vorhandenen Dateien US_export_policy.jar und local_policy.jar werden dadurch überschrieben. Eventuell legt man eine Sicherheitskopie von diesen Dateien an.
  4. Die Datei $JAVA_HOME/jre/lib/security/java.security editiren. Dort den Abschnitt wo die Security Provider definiert werden wie folgt ergänzen:
    • bei allen Einträgen der art
      security.provider.n=...
      
      die Zahl n um 1 erhöhren
    • und anschliessden folgende Zeilen einfügen:
      security.provider.1=org.bouncycastle.jce.provider.BouncyCastleProvider
      

Weiterführende Informationen

© copyright RBG - TUM Fakultät für Informatik Impressum - Feedback