Damit der oxaion Server auf diverse Schnittstellen, Webservices und andere mit SSL verschlüsselte Verbindungen zugreifen kann, müssen die Gegenseiten über ordnungsgemäße und lückenfreie Zertifikatsketten verfügen. In der Java Runtime-Umgebung sind bereits die häufigsten Root-Zertifikate standardmäßig enthalten, so dass in vielen Fällen keine zusätzlichen Aktionen notwendig sind. Falls darüber hinaus weitere Zertifikate vom oxaion Server als "gültig" akzeptiert werden sollen, können diese wie folgt konfiguriert werden.
Die SSL-Zertifikate befinden sich im "certs"-Ordner unterhalb des "data"-Verzeichnisses.
Wenn ein Zertifikat abläuft oder seitens des Webservice-Betreibers aus anderen Gründen getauscht wird, so muss es auch neu im oxaion Server hinterlegt und in den dort vorhandenen Keystore eingebunden werden.
Zertifikat herunterladen
Das neue Zertifkat kann einfach über den Browser heruntergeladen werden.
Beispiel am Webservice finanzonline.at:
1) Aufruf der Webservice-URL im Browser (hier Google Chrome)
2) Klick auf das Schloss-Symbol
3) Klick auf "Verbindung ist sicher"
4) Klick auf "Zertifikat ist gültig"
5) Das übergeordnete Zertifikat per Doppelklick öffnen
6) Zertifikat herunterladen
7) Die gespeicherte Datei dann im data/certs-Ordner ablegen
Keystore anlegen
Falls noch keine Keystore-Datei (*.jks) existiert, kann ein Keystore angelegt werden. oxaion unterstützt dabei beliebig viele parallele Keystore-Dateien mit beliebigen Namen:
keytool -genkey -keyalg RSA -alias oxaion_selfsigned -keystore https.keystore -storepass changeit -validity 360 -keysize 2048
Damit oxaion den Keystore öffnen kann, ist das Passwort des Keystores in der Datei keystore.properties abzulegen.
Zertifikat einbinden
Nützliche Befehle (für die Windows Kommandozeile) für die Erneuerung des Zertifikats im Keystore sind:
1) Zertifikate eines bestehenden Keystores auflisten:
keytool -list -v -keystore keystore.jks
2) Ggf. altes Zertifikat eines bestehenden Keystores löschen
keytool -delete -alias mydomain -keystore keystore.jks
3) Neues Zertifikat in einen bestehenden Keystore importieren
keytool -importcert -alias name -file zertifikat.cer -keystore keystore.jks
Server-Neustart
Änderungen am certs-Ordner werden erst mit Neustart des oxaion Servers aktiv