0

在密钥库中创建私钥和自签名证书

keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com -keyalg RSA -sigalg SHA1withRSA

创建证书请求并发送到内部 CA

keytool -certreq -alias mydomain -keystore mydomain.ks -file mydomain_project.csr

一旦内部(公司)CA 颁发证书 - 看起来像这样

eg -----BEGIN CERTIFICATE----- MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39+l5aCEGGbauLP5W6 -----END CERTIFICATE-----

将此复制到 .pem 文件

使用 CA 签名证书更新(身份)密钥库中的自签名证书并创建新的 Java 密钥库(信任)CA 签名证书(使用 .pem 文件)

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore mydomain.ks

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore trust.jks

在 Weblogic 上,我按如下方式导入了密钥库并启用了 SSL。

身份 - mydomain.ks(带有私钥 + CA 证书)

信任 - trust.jks(具有 CA 证书)

问题:一旦我点击了部署在 weblogic 上的内部站点。我收到一条消息 - 不是受信任的证书。然后我从浏览器下载证书,然后 https 工作。但证书显示它是由我提供的域名签名的,而不是我的内部 CA 名称。

问题:我希望它能够工作(实际上无需再次下载),因为我已经拥有内部 CA 证书,并且其他内部应用程序可以在 https 上运行。我做错什么了吗?

4

2 回答 2

0

我解决了我的问题。感谢用户 384706。

基本上,一旦您从 CA 获得签名的 .pem 文件(带有 START 和 END)。

在导入此签名证书以替换密钥库中的自签名证书(要在 WebLogic 上配置的身份密钥库)之前。我们需要确保

1) CA 根证书(威瑞信或您公司签署的 CA 证书)被导入到同一个 Keystore。您可以在您的 Windows 机器上找到 CA 根证书 (run-certmgr.msc)。

2)还要确保所有这些别名都相同 -

  • 自签名证书
  • 证书请求
  • 导入 CA 证书时
于 2012-03-26T23:07:14.107 回答
0

我不确定您是如何/在哪里导入证书的,但浏览器的信任库与 java 不同。
因此,您必须在第一次访问该站点时将其作为例外添加到其信任库中。

至于显示的域名,浏览器会弹出服务器发送的证书

于 2012-03-21T21:40:36.833 回答