我们有很多的麻烦我们的SSL证书才能正常工作。SSL中级证书
我们首先创建一个PKCS12文件,并将其导出到Java密钥生成我们从现有的密钥和证书密钥存储(使用多个来源)。
现在,Thawte的需要安装2个中间CA文件。如果我检查我们的密钥存储库,所有三个(2个中间体和我们自己的)都存在。 Tomcat正常启动,但在访问该站点(并使用verisign ssl检查器)时,两个中间证书未被拾取。
如果任何人有安装从Thawte的证书更多的经验,任何输入,将不胜感激。我们有以下文件供我们使用。不幸的是,我们没有用于创建CSR的原始密钥库,但我们拥有私钥。
另外,我们使用的是没有Apache的tomcat 7.0.27。
谢谢!
似乎我们得到了它正常工作的唯一方法是通过撤销旧证书,并与新的CSR更新它。
我回答你的another question,片段从那里应该有助于解决这个问题了。
一个需要注意的,加满证书链的PKCS#12密钥库必须连接所有中间PEM文件是这样的:
cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem
,并指定-CAfile ca_chain.pem并指定-caname多的时间 - 一旦在链中的每个证书命令他们出现在ca_chain.pem文件中。
DER到PEM convertation以防万一:
openssl x509 -in cert.der -inform der -outform pem -out cert.pem
我有“证书链长”同样的问题来为“1”,我刚开始失去所有希望尝试过很多方法,但设法通过安装和使用APR解决:
https://stackoverflow.com/a/22391211/2802916
现在在server.xml中的连接器看起来是这样的:
<Connector port="443"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
SSLCertificateFile="thecertificate.cer"
SSLCertificateKeyFile="privatekey.key"
SSLCACertificateFile="intermediate.crt"
SSLPassword="thePassForPrivateKey"
/>
只是为了澄清,因为我不知道如何阅读这些提示后对付它 - 我已经把所有的证书和私钥到PKCS12密钥库,然后con指望Tomcat使用该密钥库,而不是默认的JKS。它没有为我工作JKS - keytool只从PKCS12文件导入私钥和我的站点证书,但中间证书丢失。
命令我用:
openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt
而在server.xml文件我已经在连接器定义添加
keystoreType="PKCS12"
。
现在我有Tomcat 7通过https使用以前生成的密钥,证书和中间证书来提供内容。就我而言,它只是RapidSSL的一个中间证书。