我正试图在服务器上设置一个Thawte 123SSL证书,但我丢失了用于生成CSR的原始密钥库。然而,我有一个带有私钥和.crt的.p12文件,所以我使用以下语句创建了一个新的密钥库:
keytool-importkeystore-srkeystore文件.p12-srcstoretype pkcs12-destkeystore/path/to/keystore.jks
之后,我将中间CA证书添加为:
keytool-import-alias Primary-trustcacherts-file SSL123_PrimaryCA.pem-keystore keystore.jks
keytool-import-alias Secondary-trustcacherts-file SSL123_SecondaryCA.pem-keystore keystore.jks
然后我在server.xml 中添加了一个连接器端口
我想仅此而已,但当我用Thawte证书检查器检查状态时https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555由于无效链而失败:
请安装或更换以下中间CA证书在Web或应用程序服务器上,然后再次执行此测试。
所以。。我到底做错了什么?我该怎么解决?
谢谢你的建议!
在其他别名中导入中间证书不会有任何效果,您需要将整个链一次性导入私钥所在的别名中,如本答案所述。
Keystore的使用有点棘手。
当您通过执行"keytool-list-v-keystore[keystorename]"来查看您的密钥库,并看到多个证书链接时,很可能您的中间产品安装是可以的。Thawte检查器有点过时了,它期待的证书链可能与现代标准不同。
根据keytool的版本,它可能不喜欢的那些文件的.pem扩展名
keytool-import-trustcacherts-alias secondary Intermediate-keystore your_keystore_filename-file secondary _inter.cer
keytool-import-trustcacherts-alias primaryIntermediate-keystore your_keystore_filename-file primary_inter.cer
如果你经常使用密钥库,有一个GUI工具叫做porterclehttp://portecle.sourceforge.net/这是免费的在线下载,你可以使用。这使得修复和使用密钥库的生活变得更加轻松。