Настройка ssl сертификата на Tomcat: Неверная цепочка

Question

Настройка ssl сертификата на Tomcat: Неверная цепочка

Я пытаюсь настроить сертификат Thawte 123SSL на своем сервере, но я потерял оригинальное хранилище ключей, используемое для генерации CSR. Однако у меня есть файл.p12 с закрытым ключом и.crt, поэтому я создал новое хранилище ключей, используя предложение:

keytool -importkeystore -srckeystore file.p12 -srcstoretype pkcs12 -destkeystore /path/to/keystore.jks

После этого я добавил промежуточные сертификаты CA как:

keytool -import -alias Primary -trustcacerts -file SSL123_PrimaryCA.pem -keystore keystore.jks
keytool -import -alias Secondary -trustcacerts -file SSL123_SecondaryCA.pem -keystore keystore.jks

Затем я добавил порт Connector в мой server.xml

Я думаю, что это все, но когда я проверяю статус с помощью Thawte Certificate Checker, https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555 не удалось из-за неверной цепочки:

Пожалуйста, установите или замените следующие промежуточные сертификаты CA на вашем веб-сервере или сервере приложений и повторите тест.

Итак.. что именно я делаю не так? Как я могу это исправить?

Спасибо за любой совет!

0

ssl tomcat chain thawte

Источник

user2552868 05 июл '13 в 09:31

2 ответа

Другие вопросы по тегам ssl tomcat chain thawte

user372643 30 июл '13 в 00:03 2013-07-30 00:03 · Answer 1 · 2013-07-30 00:03

Импорт промежуточных сертификатов в другие псевдонимы не будет иметь никакого эффекта, вам нужно импортировать всю цепочку за один раз в псевдоним, где находится закрытый ключ, как описано в этом ответе.

1

Источник

user372643 30 июл '13 в 00:03

user2631894 29 июл '13 в 21:20 2013-07-29 21:20 · Answer 2 · 2013-07-29 21:20

С Keystores работать немного сложнее.

Если вы посмотрите на хранилище ключей, выполнив команду "keytool -list -v -keystore [keystorename]", и увидите, что несколько сертификатов объединены в цепочки, то, скорее всего, установка промежуточных соединений прошла нормально. Проверка Thawte немного устарела и ожидает цепочку сертификатов, которая может отличаться от современных стандартов.

В зависимости от версии keytool может не понравиться расширение.pem этих файлов для

keytool -import -trustcacerts -alias primaryIntermediate -keystore your_keystore_filename -file Secondary_inter.cer

keytool -import -trustcacerts -alias primaryIntermediate -keystore your_keystore_filename -file primary_inter.cer

Если вы много играете с хранилищами ключей, есть инструмент с графическим интерфейсом, называемый portecle http://portecle.sourceforge.net/, который можно бесплатно скачать через Интернет. это делает жизнь намного проще для исправления и игры с хранилищами ключей.