(内部)CA签名证书在WebLogic&我机器上的相同CA证书(公钥)。浏览器仍然不信任

时间:2012-03-21 20:26:09

标签: security ssl weblogic ssl-certificate ca

创建私钥&在密钥库中自签名证书

keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn = mydomain.com -keyalg RSA -sigalg SHA1withRSA

创建证书申请并发送到内部CA

keytool -certreq -alias mydomain -keystore mydomain.ks -file mydomain_project.csr

一旦内部(公司)CA颁发证书 - 看起来像这样

e.g。 -----开始证书----- MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF UbM77e50M63v1Z2A / 5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw E + cFEpf0WForA + eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39 + l5aCEGGbauLP5W6 -----结束证书-----

将其复制到.pem文件

使用CA签名证书&更新(身份)KeyStore中的自签名证书。创建了新的Java密钥库(Trust)CA签名证书(使用.pem文件)

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore mydomain.ks

keytool -import -alias mydomain -trustcacerts -file company_cert.pem -keystore trust.jks

在Weblogic上,我按如下方式导入了密钥库,并启用了SSL。

身份 - mydomain.ks(带私钥+ CA证书)

Trust - trust.jks(具有CA证书)

问题:一旦我点击了在weblogic上部署的内部网站。我收到一条消息 - 不是可靠的证书。         然后我从浏览器下载certifcate,然后https工作。但证书显示它是由我给的域名签名,而不是我的内部CA名称。

问题:由于我已经拥有内部CA证书,其他内部应用程序可以在https上运行,因此我希望它可以正常工作(不再实际下载)。我做错了什么?

2 个答案:

答案 0 :(得分:0)

我不确定你输入证书的方式/位置,但浏览器的信任库与java不同 因此,首次访问站点时,必须将其作为例外添加到其信任库中。

对于显示的域名,浏览器将证书弹出为服务器发送的

答案 1 :(得分:0)

我解决了我的问题。谢谢user384706。

基本上,一旦您从CA获得了签名的.pem文件(带有START& END)。

导入此签名证书之前,请替换密钥库中的自签名(要在WebLogic上配置的Identity Keystore)。我们需要确保

1) CA根证书(Verisign或您公司签名的CA证书)将导入到同一个Keystore。您可以在Windows框中找到CA根证书(run-certmgr.msc)。

2)还要确保所有这些别名都相同 -

  • 自签名证书
  • 证书请求
  • 导入CA证书时