SSL-Zwischenzertifikat
Wir haben eine Menge ärger bekommen unsere SSL-Zertifikate richtig zu arbeiten.
Wir generiert haben unsere keystores (mit mehreren Quellen) aus einem bestehenden Schlüssel und das Zertifikat, indem Sie zunächst die Erstellung einer pkcs12-Datei, und exportieren es zu einem java-keystore.
Nun, Thawte erfordert die Installation 2 intermediate-ca-Dateien. Wenn ich prüfen unsere keystore, alle drei (die 2 Zwischenprodukte und unsere eigenen) sind vorhanden. Tomcat startet einwandfrei, aber auf dem Besuch der Website (und mit dem verisign ssl-checker), die zwei intermediate-Zertifikate werden nicht abgeholt.
Wenn jemand hat mehr Erfahrung mit der Installation von Zertifikaten von Thawte, würde jede Eingabe geschätzt werden. Wir haben die folgenden Dateien zur Verfügung. Leider haben wir nicht die original-keystore verwendet, um erstellen Sie die CSR, aber wir haben den privaten Schlüssel.
- CSR-Datei
- Privaten Schlüssel (.key-Datei)
- Unsere .crt-Datei
- Der primären und sekundären temporäre Dateien von Thawte (als separat und gebündelt .p7b-Dateien)
Auch wir sind der Verwendung von tomcat-7.0.27 ohne apache.
Dank!
Du musst angemeldet sein, um einen Kommentar abzugeben.
Antwortete ich auf Ihre eine andere Frage, snippets-von dort aus sollte helfen, mit diesem problem zu.
Einen VORBEHALT hinzufügen, um die vollständige Zertifikats-Kette zu PKCS#12-Schlüsselspeicher müssen Sie verketten alle zwischen PEM-Dateien wie dieses:
Und geben Sie
-CAfile ca_chain.pem
und geben Sie-caname
mehrere Zeit - einmal für jedes cert in der Kette, in der Reihenfolge, wie Sie erschienen inca_chain.pem
Datei.DER zu PEM-Umrechnung nur für den Fall:
Einfach zu klären, da ich nicht sicher war, wie Sie sich mit es nach dem Lesen dieser Hinweise - ich habe alle Zertifikate und private key in PKCS12-keystore und dann konfiguriert Tomcat zu verwenden, dass die keystore-statt Standard-JKS. Es hat nicht für mich gearbeitet, mit JKS - keytool-Import war nur den privaten Schlüssel und meine Website-Zertifikat aus dem PKCS12-Datei, sondern ein intermediate Zertifikat fehlt.
Befehl habe ich verwendet:
Und in server.xml die Datei habe ich Hinzugefügt,
in connector-definition.
Und jetzt habe ich Tomcat 7 mit Inhalte über https unter Verwendung der zuvor erzeugten Schlüssel, Zertifikat und Zwischenzertifikat. In meinem Fall war es nur ein intermediate-Zertifikat von RapidSSL.
Scheint die einzige Art, wie wir es richtig funktioniert war, durch Widerruf der alte Zertifikat und erneuern mit einem neuen CSR.