首頁猿問導(dǎo)入證書作為PrivateKeyE...

導(dǎo)入證書作為PrivateKeyEntry

安全

德瑪西亞99 2019-12-04 12:57:22

我正在Tomcat服務(wù)器上安裝SSL，并遵循發(fā)行者h(yuǎn)ttps://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO16181的以下說明，該消息指出：Verify the following information:The SSL certificate is imported into the alias with the "Entry Type" of PrivateKeyEntry or KeyEntry. If not, please import the certificate into the Private Key alias.導(dǎo)入證書（tomcat）時，我正在使用：keytool -import -trustcacerts -alias your_alias_name -keystore your_keystore_filename-file your_certificate_filename但是當(dāng)我這樣做時，它會導(dǎo)入為trustCertEntryKeystore type: JKSKeystore provider: SUNYour keystore contains 3 entriesprimaryca, Jul 26, 2014, trustedCertEntry,Certificate fingerprint (SHA1): <snip>tomcat, Jul 26, 2014, trustedCertEntry,Certificate fingerprint (SHA1): <snip>secondaryca, Jul 26, 2014, trustedCertEntry,Certificate fingerprint (SHA1): <snip>如何使別名tomcat導(dǎo)入為PrivateKeyEntry？

查看完整描述

3 回答

qq_笑_17

TA貢獻(xiàn)1818條經(jīng)驗獲得超7個贊

擺脫-trustcacerts選擇。這不是CA證書。這是您的證書。并使用私鑰已具有的相同別名。

反對回復(fù) 2019-12-04

慕碼人8056858

TA貢獻(xiàn)1803條經(jīng)驗獲得超6個贊

這些CA準(zhǔn)則有點誤導(dǎo)。@EJP正確地表示您不應(yīng)該使用-trustcacerts您的證書。

另外，此CA文檔建議在單獨的操作中導(dǎo)入主要和中間CA證書，這將為您提供如下結(jié)果：

primaryca, Jul 26, 2014, trustedCertEntry,

Certificate fingerprint (SHA1): <snip>

secondaryca, Jul 26, 2014, trustedCertEntry,

Certificate fingerprint (SHA1): <snip>

tomcat, Jul 26, 2014, PrivateKeyEntry,

Certificate fingerprint (SHA1): <snip>

不幸的是，像這樣將CA證書導(dǎo)入您的密鑰庫中是沒有意義的。（在信任庫中很有用，但是您使用的CA可能已經(jīng)在默認(rèn)信任庫中。）

實際上，在密鑰庫中具有用于證書的CA證書很有用，以便在需要中間證書時提供完整的證書鏈。但是，即使密鑰管理器（除非是自定義實現(xiàn)）也不會為您建立鏈，即使它在您的最終實體證書（在PrivateKeyEntry中）旁邊找到合適的CA證書也是如此。

您需要針對私鑰所在的條目將這些證書作為鏈一起導(dǎo)入。為此，將證書合并到一個文本文件（PEM編碼）中，首先是服務(wù)器證書，然后是用于頒發(fā)證書的證書，依此類推。然后，使用該私鑰別名將該文件導(dǎo)入您的密鑰庫。（這與該問題完全相同，但是具有服務(wù)器證書。）

（我不確定您的CA是否已將您的證書文件作為一個鏈條提供，但是通常，您至少在一個文件中獲得證書，而在另一個文件中獲得中級CA證書。您鏈接到的文檔似乎具有誤導(dǎo)性，因為它們兩者之間的間隔不超過一個--BEGIN/END CERT--，但不知何故，他們的示例屏幕截圖針對該單個別名的證書長度為4。）

正如@jww在對您的問題的評論中所指出的那樣，您不需要此鏈中的“根” CA證書（自簽名證書），因為您的客戶已經(jīng)信任它，或者它沒有理由發(fā)送時請信任它。在您的鏈中擁有它并沒有錯，但這是沒有意義的，并且可能會增加一些網(wǎng)絡(luò)開銷。

反對回復(fù) 2019-12-04