我已跟踪this thread导入我公司域名的GeoTrust通配符证书。从GeoTrust我收到了一个PEM格式的私钥,公钥和中间证书。这些是我到目前为止所做的所有步骤:
keytool -genkeypair -alias company -keyalg RSA -keysize 2048 -validity 7360 -keystore cdn.keystore -keypass pass -storepass pass
keytool -import -v -trustcacerts -storepass pass -alias primaryca -keystore cdn.keystore -file public.pem
openssl pkcs12 -export -in public.pem -inkey private.pem -CAfile ca.pem -name company -out keystore.p12
keytool -importkeystore -deststorepass pass -destkeypass pass -destkeystore cdn.keystore -srckeystore keystore.p12 -srcstoretype PKCS12
第三段要求我覆盖第一段中插入的公司条目:如果我拒绝,浏览器不会识别GeoTrust证书,并将其视为正常的自签名证书。如果我说是,所有似乎都能正常工作,但如果我用GeoTrust CryptoReport(或其他网站)检查我的安装,它会告诉我它错过了中间密钥并且它不受信任。
如果我使用Chrome或Firefox打开网站,我不会收到任何安全警告,但我担心之前的错误可能会导致与Microsoft ADFS不兼容(我使用的是Spring Security SAML)。 / p>
有什么想法吗?
答案 0 :(得分:0)
在我的案例中,这些是正确安装的简单步骤following this solution:
1. cat ca.pem /etc/ssl/certs/ca-certificates.crt > allcacerts.pem
2. openssl pkcs12 -export -chain -in public.pem -inkey private.pem -out server.p12 -name server -CAfile allcacerts.pem -caname root
3. keytool -importkeystore -deststorepass YOURPASS -destkeypass YOURPASS -destkeystore my.keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass YOURPASS -alias YOURALIAS
第一段需要避免openssl错误。在第二段中,您必须指定一个密码,它将是YOURPASS,也用于您的密钥库和standalone.xml。