我购买了一个 Wildcard 证书,并尝试将其与 Tomcat 8 一起使用。
为了启用 SSL,我执行了几行命令。 SSL 已启用,但我总是收到警告说我正在使用自签名证书。当然不应该这样,应该使用可信证书。
我已经收到了证书和中间证书(来自 1and1),我发现根证书是由 GeoTrust Global CA 颁发的(我下载了)。
生成 key :
keytool -genkey -alias tomcat -keyalg RSA
添加根证书
keytool -import -alias root -keystore .keystore -trustcacerts -file root.pem
添加中间证书
keytool -import -alias intermed -keystore .keystore -trustcacerts -file intermediate.cer
添加主证书
keytool -import -alias main -keystore .keystore -file main.cer
我已经修改了server.xml中的连接器,这是非常简单的部分,提供 keystore 和密码。
当我浏览到该域时,我收到一条警告,指出这是一个自签名证书,我必须添加异常(exception)等等...
此证书已在 IIS 中使用,并且运行良好。
使用一些在线工具ssl-checker,证明这是一个自签名证书,颁发者等于我在第一个开头提供的“First Name and Family Name”命令。
遗漏的问题是什么?
谢谢!
最佳答案
我最近在 Java/Keytool 中遇到了证书链导入和使用方面的问题。
我的猜测是只有第一个证书被发送到客户端(我假设您使用的是与 IIS 站点相同的浏览器)。这可以通过以下 openssl 命令的输出进行检查:
openssl s_client -connect YOURSITE.COM:443 -showcerts
如果确认,因为客户端错过了中间证书并使您的证书无法验证。 在那种情况下,您可能应该“强制”keytool(不知道您的 Java 版本/操作系统)“吃掉”手工制作的证书链。
引用这个excellent post (这就是我在我的案例中所做的)。请记住放置所有证书,包括 CA Root。
关于tomcat - SSL 通配符证书到 Tomcat,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39636568/