Problemas ao utilizar cerficado digital - certificado não identificado

Olá a todos.

Eu estou fazendo alguns estudos sobre a utilização de certificado digital e adquiri um certificado trial no site http://www.thawte.com, adicionei o certificado em meu keystore, configurei o meu servidor de aplicação (JBoss 7.1.1) e ao iniciá-lo a barra de endereço fica vermelha informando que o certificado não é válido.

Veja os passos que realizei:

1. Crio o keystore:
keytool -genkey -alias meudominio.com.br -keyalg RSA -keystore D:\java\ssl\test.jks -keypass 123456 -storepass 123456 -validity 365 -keysize 2048;

2. Crio o Certificate Signing Request (CSR):
keytool -certreq -alias meudominio.com.br -keystore D:\java\ssl\test.jks -keypass 123456 -storepass 123456 -file D:\java\ssl\test.csr;

3. Em seguida vou ao site http://www.thawte.com e passo a informação contida no arquivo Certificate Signing Request gerado no passo anterior;

4. O Site me retorna o Trial Secure Server Intermediate CA e o Thawte Test CA Root certificate;

5. Gero dois arquivo: o "test.cer" com o conteúdo do Trial Secure Server Intermediate CA e o "testCA.cer" com o conteúdo do Thawte Test CA Root certificate;

6. Importo o Certificate Authority (CA) para o keystore:
keytool -import -trustcacerts -alias "thawte Trial Secure Server Root CA" -file D:\java\ssl\testCA.cer -keystore D:\java\ssl\test.jks

7. Importo o Certificado para o keystore:
keytool -import -alias "Thawte Trial Secure Server CA" -keystore D:\java\ssl\test.jks -file D:\java\ssl\test.cer

8. Configuro o JBoss para identificar o Keystore:
<connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http" redirect-port="8443"/>
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
       <ssl name="ssl" password="123456" certificate-key-file="D:/java/ssl/test.jks" protocol="TLSv1" verify-client="false"/>
</connector>

9. Registrei o Certificado "test.cer" e o CA "testCA.cer" no navegador;

Quando inicio o JBoss e entro na aplicação o navegador não identifica a certificado, ficando com a barra de endereço vermelha.
Eu informo a seguinte url na barra de endereço: https://172.22.17.186:8443/teste/teste.jsf
Mesmo ficando vermelha a aplicação funciona normalmente, mas eu preciso que o certificado seja identificado.

Obrigado.

O campo “CN=” do certificado deve indicar o hostname.

Se você acessar via endereço IP, não por nome, vai receber esse erro sempre.

Suponha que o campo CN= seja meusiteseguro.com.br.

Então

https://172.22.17.186:8443/teste/teste.jsf

vai ocasionar o erro, mas

https://meusiteseguro.com.br:8443/teste/teste.jsf

não vai.

Note que meusiteseguro.com.br é diferente de www.meusiteseguro.com.br para efeitos de validação de certificados, mesmo que apontem para o mesmo IP.

No caso em “meudomicio” eu coloquei o nome da minha máquina “rbsrdds47800” e quando eu acesso o endereço abaixo o certificado continua não identificado.
https://rbsrdds47800:8443/teste/teste.jsf

Será que o endereço precisa ser de um máquina que pode ser acessada pela internet? Isto é, que qualquer pessoa possa acessa o sistema da internet.

Obrigado.

O campo CN= do certificado tem de bater com o nome da máquina (um truque para você testar isso é mexer no seu arquivo de hosts, que fica em /etc/hosts, se for no Unix/Linux, ou \windows\system32\drivers\etc\hosts , se for no Windows.

Digamos que seu certificado tenha sido emitido para o nome CN = bankline.com.br.

Então o nome da máquina a ser testada deve ser bankline.com.br, mesmo que você tenha de mexer no arquivo de hosts.