1

如何创建最终将在 tomcat 中使用的 .keystore。或者我有什么选择?

与我习惯的自签名证书相反,我有一个带有授权签名证书 (ASC) 的目录,但不知道如何创建最终将在 tomcat server.xml 配置中使用的 .keystore。

在我的目录中,我有 {req.cnf, req.pem, priv.key, cert_me.pem 和 dhparamxxx.pem} 我不确定在这些中使用什么来为 tomcat8 创建 .keystore

4

1 回答 1

0

让我们假设授权是一个 RootCA,RootCA 必须知道关于用于您的 tomcat 服务器的证书和服务器的详细信息(名称、IP 地址、日期...)。此外,您的证书必须指向正确的 RootCA。

背后的想法是:

  1. 浏览器转到您的 tomcat。
  2. tomcat 用他的证书链中的 RootCA-public-key 报告他的公共证书。
  3. 浏览器与 RootCA 联系并询问其证书是否有效
  4. 在 RootCA 确认后,浏览器会联系 RootCA 的 OCSP。
  5. 如果两者(RootCA 证书验证和 RootCA OCSP 验证)都确认了证书的有效性,则浏览器会打开到 tomcat-server 的可信 TLS 会话。

keytool在创建的密钥库中签署服务器证书的过程是 CSR(证书签名请求)。CSR 在 Tomcat 端生成并传输到 RootCA。RootCA 接受 CSR 的上传,并允许您为证书链创建 RootCA。

于 2018-03-21T08:04:55.370 回答