我们在让 SSL 证书正常工作时遇到了很多麻烦。
通过首先创建 pkcs12 文件并将其导出到 java 密钥库,我们从现有密钥和证书生成了我们的密钥库(使用多个源)。
现在,Thawte 要求您安装 2 个中间 ca 文件。如果我检查我们的密钥库,所有三个(2 个中间体和我们自己的)都存在。Tomcat 正常启动,但在访问该站点(并使用威瑞信 ssl 检查器)时,两个中间证书没有被提取。
如果有人在安装 Thawte 证书方面有更多经验,我们将不胜感激。我们有以下文件可供使用。不幸的是,我们没有用于创建 CSR 的原始密钥库,但我们有私钥。
另外,我们使用的是没有 apache 的 tomcat 7.0.27。
谢谢!
我回答了你的另一个问题,那里的片段也应该有助于解决这个问题。
需要注意的是,要将完整的证书链添加到 PKCS#12 密钥库,您必须像这样连接所有中间 PEM 文件:
cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem
并指定-CAfile ca_chain.pem和指定-caname多次 - 链中的每个证书一次,以便它们出现在ca_chain.pem文件中。
DER 到 PEM 的转换以防万一:
openssl x509 -in cert.der -inform der -outform pem -out cert.pem
澄清一下,因为我在阅读这些提示后不确定如何处理它 - 我已将所有证书和私钥放入 PKCS12 密钥库,然后将 Tomcat 配置为使用该密钥库而不是默认 JKS。JKS 对我不起作用 - keytool 仅从 PKCS12 文件导入私钥和我的站点证书,但缺少中间证书。
我用过的命令:
openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt
在 server.xml 文件中我添加了
keystoreType="PKCS12"
在连接器定义中。
现在我让 Tomcat 7 使用先前生成的密钥、证书和中间证书通过 https 提供内容。就我而言,它只是 RapidSSL 的一个中间证书。
似乎我们让它正常工作的唯一方法是撤销旧证书并用新的 CSR 更新它。
我遇到了与“证书链长度”相同的问题为“1”,我刚刚开始失去所有希望,尝试了很多方法,但通过安装和使用 APR 设法解决:
https://stackoverflow.com/a/22391211/2802916
现在 server.xml 中的连接器如下所示:
<Connector port="443"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
SSLCertificateFile="thecertificate.cer"
SSLCertificateKeyFile="privatekey.key"
SSLCACertificateFile="intermediate.crt"
SSLPassword="thePassForPrivateKey"
/>