настройка на ssl сертификат на Tomcat: невалидна верига

Опитвам се да настроя Thawte 123SSL сертификат на моя сървър, но загубих оригиналното хранилище за ключове, използвано за генериране на CSR. Въпреки това имам файла .p12 с частния ключ и .crt, така че създадох ново хранилище за ключове, използвайки изречението:

keytool -importkeystore -srckeystore file.p12 -srcstoretype pkcs12 -destkeystore /path/to/keystore.jks

След това добавих междинните CA сертификати като:

keytool -import -alias Primary -trustcacerts -file SSL123_PrimaryCA.pem -keystore keystore.jks

keytool -import -alias Secondary -trustcacerts -file SSL123_SecondaryCA.pem -keystore keystore.jks

След това добавих конекторен порт към моя server.xml

Мисля, че това е всичко, но когато проверя състоянието с Thawte Certificate Checker https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555 неуспешно поради невалидна верига:

Моля, инсталирайте или сменете следните междинни CA сертификати на вашия уеб или сървър на приложения и изпълнете този тест отново.

И така.. какво точно правя грешно? Как мога да поправя това?

Благодаря за всякакви съвети!


ssl tomcat chain thawte
person user2552868    schedule 05.07.2013    source източник

Отговори (2)


arrow_upward
1
arrow_downward

Импортирането на междинните сертификати в други псевдоними няма да има ефект, трябва да импортирате цялата верига наведнъж в псевдонима, където е частният ключ, както е описано в този отговор.

person Bruno    schedule 30.07.2013

arrow_upward
0
arrow_downward

Работата с хранилищата за ключове е малко трудна.

Когато погледнете вашето хранилище за ключове, като изпълните "keytool -list -v -keystore [keystorename]" и видите множество верижни сертификати, тогава повече от вероятно вашата инсталация на междинните продукти е наред. Проверката на Thawte е малко остаряла и очаква верига от сертификати, която може да се различава от съвременните стандарти.

В зависимост от версията на keytool може да не харесва разширението .pem на тези файлове

keytool -import -trustcacerts -alias secondaryIntermediate -keystore your_keystore_filename -file secondary_inter.cer

keytool -import -trustcacerts -alias primaryIntermediate -keystore your_keystore_filename -file primary_inter.cer

Ако си играете много със хранилища за ключове, има GUI инструмент, наречен portecle http://portecle.sourceforge.net/ това е безплатно за изтегляне онлайн, което можете да използвате. това прави живота много по-лесен за коригиране и игра с хранилища за ключове.

person DomSYMC    schedule 29.07.2013