Certificaat issue openbasiskaart.nl

Terralytics · 22 juli 2020 om 14:07

Kan het kloppen dat er sinds kort (sinds vorige week dinsdag?) iets is veranderd aan de OpenBasisKaart WMS? Waar ik eerst de WMS zonder problemen via verschillende toepassingen kon openen, geeft dus nu problemen als ik de kaart bijvoorbeeld via Geoserver laat lopen:

java.io.IOException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Het lijkt dus met het beveiligingscertificaat te maken te hebben. Ik zie als ik het certificaat van OpenBasiskaart.nl bekijk dat deze inderdaad vorige week dinsdag is vernieuwd:

Kan het zijn dat de certification chain anders is dan eerst?

Waarom deze kaartlaag via Geoserver laten lopen vraag je je misschien af? Dat heeft oa te maken met de printfunctie die we gebruiken.

Just_OSGeo · 22 juli 2020 om 17:05

Kan iets te maken met de combinatie Java Client (vanuit GeoServer), truststore en LetsEncrypt certificaten. Is complex verhaal, maar komt van tijd tot tijd op, zie bijv:

maar ook op GeoForum, zoek op: Zoekresultaten voor 'java certificaat' - Geoforum

Op zich is het certificaat ok, weliswaar grade B: SSL Server Test: openbasiskaart.nl (Powered by Qualys SSL Labs)
maar de combi met Java (leverancier, versie en keystore) kan daar iets mee te maken hebben.

Geen volledig antwoord, maar in die hoek moet je het, denk ik, zoeken.

wouter.visscher · 22 juli 2020 om 17:49

Om de opmerking toch maar ff te plaatsen @Terralytics & @Just_OSGeo deze vraag past beter in een eigen topic in plaats van deze te ‘hijacken’. Zeker gezien het een goede vraag is, is het zonde als deze nu minder goed vindbaar voor andere gebruiker (over een tijdje) en/of de google indexing gezien er een mismatch is tussen vraag en topic title. (vandaar de move naar eigen topic)

Just_OSGeo · 22 juli 2020 om 18:06

@wouter.visscher +1, wilde ik al voorstellen.

Terralytics · 23 juli 2020 om 07:07

@wouter.visscher bedankt voor het verplaatsen, dit is inderdaad een stukje netter.
@Just_OSGeo Bedankt voor de info! Ik heb het oude certificaat inderdaad al ooit toegevoegd aan mijn Keystore. Wat ik alleen niet in de gaten heb gehouden is dat ik dat certificaat in de Keystore ook moest updaten/vervangen nu het certificaat van OpenBasiskaart is vernieuwd. Gek genoeg is dit nog niet eerder nodig geweest. Ik zie dat het huidige certificaat een half jaar geldig is. Was het oude certificaat toevallig langer geldig?

Ik gebruik overigens altijd Keystore Explorer voor het beheren van de certificaten. Simpelweg omdat ik altijd meer fan ben van een GUI dan een command prompt (zoals in deze howto is beschreven), maar beide opties geven uiteindelijk hetzelfde resultaat .

matthijsln · 23 juli 2020 om 08:54

@Terralytics het certificaat is inderdaad vervangen omdat deze ging verlopen. Het nieuwe certificaat is een Let’s Encrypt certificaat en die zijn inderdaad maar een kort tijd geldig (deze worden namelijk automatisch vervangen). De trend is trouwens steeds meer naar kortdurende certificaten.

Normaliter hoef je ook nooit een certificaat van een site zelf toevoegen aan je keystore, omdat deze ondertekend is door een “root” certificaat die standaard met een besturingssysteem update of een Java update worden ververst, zodat je eigenlijk geen omkijken ernaar moet hebben!

Terralytics · 15 september 2020 om 09:15

@matthijsln Ik ben dan toch wel benieuwd hoe ik dat kan regelen. Heb jij hier ervaring mee? Ik heb zojuist het certificaat namelijk weer moeten updaten. Het zou toch wel handig zijn als ik dat niet iedere drie maanden hoef te doen.

matthijsln · 15 september 2020 om 13:55

Zie deze pagina: Certificate Compatibility - Let's Encrypt

Als je Java versie nieuwer is dan 7u111 of 8u101 moeten Let’s Encrypt certificaten zonder problemen werken.

system · 14 maart 2021 om 13:56

Dit topic is 180 dagen na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.