0

我们在让 SSL 证书正常工作时遇到了很多麻烦。

通过首先创建 pkcs12 文件并将其导出到 java 密钥库,我们从现有密钥和证书生成了我们的密钥库(使用多个源)。

现在,Thawte 要求您安装 2 个中间 ca 文件。如果我检查我们的密钥库,所有三个(2 个中间体和我们自己的)都存在。Tomcat 正常启动,但在访问该站点(并使用威瑞信 ssl 检查器)时,两个中间证书没有被提取。

如果有人在安装 Thawte 证书方面有更多经验,我们将不胜感激。我们有以下文件可供使用。不幸的是,我们没有用于创建 CSR 的原始密钥库,但我们有私钥。

  1. 企业社会责任文件
  2. 私钥(.key 文件)
  3. 我们的 .crt 文件
  4. Thawte 的主要和次要中间文件(作为单独和捆绑的 .p7b 文件)

另外,我们使用的是没有 apache 的 tomcat 7.0.27。

谢谢!

4

4 回答 4

2

我回答了你的另一个问题,那里的片段也应该有助于解决这个问题。

需要注意的是,要将完整的证书链添加到 PKCS#12 密钥库,您必须像这样连接所有中间 PEM 文件:

cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem

并指定-CAfile ca_chain.pem和指定-caname多次 - 链中的每个证书一次,以便它们出现在ca_chain.pem文件中。

DER 到 PEM 的转换以防万一:

openssl x509 -in cert.der -inform der -outform pem -out cert.pem
于 2012-04-10T20:25:29.763 回答
1

澄清一下,因为我在阅读这些提示后不确定如何处理它 - 我已将所有证书和私钥放入 PKCS12 密钥库,然后将 Tomcat 配置为使用该密钥库而不是默认 JKS。JKS 对我不起作用 - keytool 仅从 PKCS12 文件导入私钥和我的站点证书,但缺少中间证书。

我用过的命令:

openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt

在 server.xml 文件中我添加了

keystoreType="PKCS12"

在连接器定义中。

现在我让 Tomcat 7 使用先前生成的密钥、证书和中间证书通过 https 提供内容。就我而言,它只是 RapidSSL 的一个中间证书。

于 2015-04-14T13:58:11.997 回答
0

似乎我们让它正常工作的唯一方法是撤销旧证书并用新的 CSR 更新它。

于 2012-04-11T12:24:57.210 回答
0

我遇到了与“证书链长度”相同的问题为“1”,我刚刚开始失去所有希望,尝试了很多方法,但通过安装和使用 APR 设法解决:

https://stackoverflow.com/a/22391211/2802916

现在 server.xml 中的连接器如下所示:

<Connector port="443"
    SSLEnabled="true"
    maxThreads="150"
    scheme="https"
    secure="true"
    clientAuth="false"
    SSLCertificateFile="thecertificate.cer"
    SSLCertificateKeyFile="privatekey.key"
    SSLCACertificateFile="intermediate.crt"
    SSLPassword="thePassForPrivateKey"
/>
于 2014-03-14T13:08:12.177 回答