浏览器不接受StartSSL 1类证书（Weblogic 10.0.1）

Question

我已经从StartSSL申请了1级证书并将其安装在Weblogic 10.0.1中（见截图）。

浏览器（Windows 7上的Chrome＆amp; IE9，XPSP3上的IE8）仍然会出现证书错误（请参见屏幕截图）。

我认为StartSSL根证书可以在多个浏览器中使用（参见here）。请指教。

Answer 1

StartSSL Class 1证书由中间CA签名，由StartCom根CA签名。为了让您的浏览器信任此证书，它需要知道它已经知道的根CA的信任链。

您的服务器需要将完整的信任链发送到浏览器（减去根CA），这样您的浏览器就可以验证您的证书是否可信。

有关详细信息，请参阅StartSSL FAQ。

Answer 2

发现问题。我在密钥库中错误地导入了StartSSL证书。另外，我在Weblogic控制台中将“weblogic”指定为别名，该控制台不是证书，而是公钥/私钥对。我正在使用Portecle来编辑密钥库。

当我注意到我可能使用了错误的别名时，我已将其更改为证书的别名。这导致了Weblogic错误：

Inconsistent security configuration, weblogic.management.configuration.ConfigurationException: No identity key/certificate entry was found under alias startssl-hostname in keystore keystore_StartSSL on server servername

最后，我按照这些步骤将证书和私钥打包到一个PKCS＃12密钥库中。然后我使用Portecle将该密钥库导入我们的java密钥库：

1. 使用Portecle作为PKCS＃12密钥库导出“weblogic”公钥/私钥。

2. 使用openssl：

   从此密钥库中提取私钥

   openssl pkcs12 -in weblogic.p12 -nocerts -out privatekey.pem

3. 使用openssl将证书和私钥打包为PKCS＃12密钥库（cert.p12）：

   openssl pkcs12 -export -in cert.cer -inkey privatekey.pem -out cert.p12 -name cert -CAfile ca.pem -caname root

4. 使用“cert”作为别名，使用Portecle将cert.p12文件导入我们的java密钥库。

5. 更改了Weblogic配置，使用带有正确密码的“cert”别名。

它有效！

PS：自从Portecle一度抱怨此事以来，我已经添加了JCE unlimited strength policy。

Answer 3

通常，信任存储和密钥库是分开的，但不会导致上述错误。

如果您的浏览器不信任CA，那么您将收到上述错误。您需要将根CA添加到浏览器中。您可以检查浏览器支持的证书。 例如，IE - ＆gt;工具 - ＆gt;互联网选项 - ＆gt;内容 - ＆gt;证书 - ＆gt;受信任的根CA

假设您需要将其导入一个或两个浏览器，这不是什么大问题。但是，如果您需要在整个企业中进行此操作（意味着100或1000个浏览器），您将需要桌面支持团队的帮助！