GoDaddy SSL 证书安装在 tomcat..没有与私钥匹配的证书

生成 Tomcat 密钥库

keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore
tomcat.keystore

不。此步骤可以正确创建密钥库文件，但更重要的是，它会创建 RSA 类型的密钥对。

生成证书密钥库

keytool -genkey -alias tomcatCert -keyalg RSA -keystore tomcat.keystore

不。此步骤不会"生成证书密钥库"，无论它应该是什么。它只在同一密钥库中以另一个别名创建另一个密钥对，并且该别名在整个过程中保持未使用状态。通过检查，它与上一步相同，除了别名更改(毫无意义)和缺少密钥大小(使其无用)。省略。

生成密钥

keytool -certreq -alias tomcat -file csr.txt -keystore tomcat.keystore -storepass pa$$word

已在第一步中生成了密钥。此步骤将生成证书签名请求 (CSR)。

合并证书

cat mydomain.crt gd_bundle-g2-g1.crt > combinedcerts

这里缺少一个步骤，即您提交 CSR 并签名的位置。据推测，这个过程的结果是mydomain.crt和Godaddy捆绑文件。

创建 P12 密钥库

keytool -importkeystore -srckeystore tomcat.keystore -destkeystore tomcatkey.p12 -deststoretype PKCS12 -storepass pa$$word

为什么？如果需要 P12 密钥库，则可以在步骤 1 及以下使用 -storetype PKCS12。这里缺少一个步骤，您可以在该步骤中将级联证书导入回原始密钥库。

生成 PEM

openssl pkcs12 -in tomcatkey.p12 -out tomcatkey.pem -nodes

为什么？

正在将剩余的 CRT 文件导出到密钥库...

openssl pkcs12 -export -chain -CAfile gd_bundle-g2-g1.crt -in combinedcerts -inkey tomcatkey.pem -out new.tomcat.keystore -name tomcat -passout pass:pa$$word

为什么？

我不知道你为什么要做这些OpenSSL步骤。Tomcat已经可以像现在这样处理tomcat.keystore或tomcat.p12。

在最后一步中，我收到以下错误："没有与私钥匹配的证书">

我不知道你为什么要做这些步骤的大部分。您永远不会使用tomcatCert别名，并且您正在通过三个毫无意义的步骤来放置一个已经完全足够的tomcat.keystore文件。

同样的步骤在几年前有效，服务器是相同的......只有 JDK 是 8u131 与之前的 8u45

。

我怀疑。它们被错误地贴上了标签，冗余，不完整，完全不连贯。更有可能的是，有人只是无助地四处乱窜，直到有什么东西起作用，然后写下他们能记住的尽可能多的东西。根本不需要使用OpenSSL工具。您所需要的只是：

1. 生成密钥对：keytool -genkey。
2. 生成 CSR：keytool -certreq.
3. 签署企业社会责任。
连接证书，
4. 首先连接新签名的证书，然后连接捆绑包。
使用与
5. (1) 和 (2) 相同的别名将串联文件导入到同一密钥库中。