使用SSL和Tomcat进入另一个问题:我已经配置了一个密钥库,其中包含密钥和证书(我希望向连接到该站点的客户端提供的服务器证书)。我为信任库做了同样的事情(我将需要客户端身份验证)。
我现在遇到的问题是,当我通过HTTPS连接到我的Tomcat实例时,提供给我的证书(服务器证书)不是我的实际服务器证书,而是我的密钥 JKS密钥库。使用-Djavax.net.debug = ssl显示它为客户端身份验证提供了正确的CA,但没有提供正确的服务器证书。
adding as trusted cert: Subject: CN=A Issuer: CN=A Algorithm: RSA; Serial number: - Valid from Tue Nov 10 14:48:31 CET 2009 until Mon Feb 08 14:48:31 CET 2010 adding as trusted cert: Subject: X Issuer: X Algorithm: RSA; Serial number: - Valid from Wed Jan 19 01:00:00 CET 2005 until Mon Jan 19 00:59:59 CET 2015
我用占位符取代了真正的价值观。 A =服务器的域名(但在这种情况下,由于某种原因,这是密钥而不是证书)。 X = VeriSign CA(这应该是正确的)。我有一个现有的证书,我想用它来呈现给客户端,我使用keytool将其导入JKS密钥库。
Tomcat连接器配置:
Connector port="444" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/ssl/keystore.jks" keystorePass="xx" keyAlias="testkey" truststoreFile="conf/ssl/truststore.jks" truststorePass="xx"
知道为什么我的Tomcat实例没有提供正确的证书吗?
答案 0 :(得分:15)
问题是(显然 - 我无法确认这一点),无法将以前生成的证书(和匹配的密钥)正确导入JKS密钥库并由Tomcat正确显示。
我的问题发生的情况如下:
我发现的解决方案是:
将现有证书和的私钥转换为DER格式。例如(使用OpenSSL):
对于私钥;
openssl pkcs8 -topk8 -nocrypt -in my_private_key.key -inform PEM -out my_private_key.der -outform DER
对于实际的签名证书;
openssl x509 -in my_certificate.crt -inform PEM -out my_certificate.der -outform DER
使用自定义Java类将两个DER文件导入密钥库(JKS文件)。
java ImportKey my_private_key.der my_certificate.der
我自己并没有想到这一点(所有归功于最初的发明者)。这个Java类的来源以及更多细节可以找到here和here。我稍微修改了这个类,以便有一个第3(或第4)参数指定生成的JKS文件的输出位置。
最终结果是一个JKS密钥库,然后可以在Tomcat Connector配置中用作密钥库。上面的工具将使用密钥和JKS文件本身的默认密码生成JKS文件,稍后可以使用keytool -storepasswd和keytool -keypasswd更改这些密码。希望这对面临同样问题的人有所帮助。
答案 1 :(得分:3)
答案 2 :(得分:2)
扩展@Bozho评论,
这非常重要。 "密钥和购买的证书应使用相同的别名" 。
从CA(Verisign,Digicert等)购买的SSL证书应使用与创建csr之前生成的私钥相同的别名导入。使用java keytool将购买的证书导入密钥库后,您将看到"证书回复已添加到密钥库"。
要检查信任链,请使用终端命令 openssl s_client -connect yourdomain.com:443 -showcerts。它从您的证书开始,最终导致受信任的根CA.