我正在尝试在我的服务器上设置Thawte 123SSL证书,但我丢失了用于生成CSR的原始密钥库。但是我有.p12文件,其中包含私钥和.crt,因此我使用以下句子创建了一个新的密钥库:
keytool -importkeystore -srckeystore file.p12 -srcstoretype pkcs12 -destkeystore /path/to/keystore.jks
之后,我将中间CA证书添加为:
keytool -import -alias Primary -trustcacerts -file SSL123_PrimaryCA.pem -keystore keystore.jks
keytool -import -alias Secondary -trustcacerts -file SSL123_SecondaryCA.pem -keystore keystore.jks
然后我在我的server.xml中添加了一个Connector端口
我认为就是这样,但当我检查Thawte证书检查器https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555的状态因无效链而失败时:
请安装或更换以下中间CA证书 在您的Web或应用程序服务器上再次执行此测试。
那么......我究竟做错了什么?我该如何解决这个问题?
感谢您的任何建议!
答案 0 :(得分:1)
在其他别名中导入中间证书不会产生任何影响,您需要将整个链一次导入到私钥所在的别名中,如this answer中所述。
答案 1 :(得分:0)
密钥库使用起来有点棘手。
当您通过执行“keytool -list -v -keystore [keystorename]”查看密钥库并查看多个证书链接时,很可能您安装的中间体很好。 Thawte检查员略有过时,并期望证书链可能与现代标准不同。
根据keytool的版本,它可能不喜欢这些文件的.pem扩展名
keytool -import -trustcacerts -alias secondaryIntermediate -keystore your_keystore_filename -file secondary_inter.cer
keytool -import -trustcacerts -alias primaryIntermediate -keystore your_keystore_filename -file primary_inter.cer
如果您经常使用密钥库,可以使用名为portecle http://portecle.sourceforge.net/的GUI工具,可以在线免费下载。这使得修复和使用密钥库的生活变得更加容易。