Промежуточные сертификаты SSL

Question

У нас возникли проблемы с получением наших сертификатов SSL для правильной работы.

Мы создали наши хранилища ключей (используя несколько источников) из существующего ключа и сертификата, сначала создав файл pkcs12 и экспортируем его в хранилище ключей java.

Теперь Thawte требует, чтобы вы установили 2 промежуточных файла ca. Если я осмотрю наше хранилище ключей, все три (2 промежуточных и наш). Tomcat запускается правильно, но при посещении сайта (и с помощью проверки verisign ssl checker) два промежуточных сертификата не подбираются.

Если у кого-то есть больше опыта с установкой сертификатов от Thawte, любой ввод будет оценен. У нас есть следующие файлы в нашем распоряжении. К сожалению, у нас нет оригинального хранилища ключей, используемого для создания CSR, но у нас есть закрытый ключ.

1. файл CSR
2. Закрытый ключ (.key файл)
3. Наш файл .crt
4. Первичные и вторичные промежуточные файлы от Thawte (как отдельная и комплектного .P7B файлов)

Кроме того, мы используем tomcat 7.0.27 без apache.

Спасибо!

Answer 1

Кажется, что единственный способ, мы получили это работает должным образом был отзывом старый сертификат и возобновлять его с новой КСО.

Answer 2

Я ответил на ваш another question, отрывки из этого также должны помочь с этой проблемой.

Одно предостережение, чтобы добавить полную цепочку сертификатов для PKCS # 12 хранилища ключей вы должны объединить все промежуточные файлы PEM, как это:

cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem 

и указать -CAfile ca_chain.pem и указать -caname несколько раз - один раз для каждого CERT в цепи в , они появились в ca_chain.pem файла.

DER для PEM конвертации только в случае, если:

openssl x509 -in cert.der -inform der -outform pem -out cert.pem 

Answer 3

У меня была такая же проблема с «Сертификат длиной цепи» придумывают, как «1», я только начал терять всякую надежду на то, перепробовал много методов, но удалось решить путем установки и использования АПР:

https://stackoverflow.com/a/22391211/2802916

Теперь разъем в server.xml выглядит следующим образом:

<Connector port="443" 
    SSLEnabled="true" 
    maxThreads="150" 
    scheme="https" 
    secure="true" 
    clientAuth="false" 
    SSLCertificateFile="thecertificate.cer" 
    SSLCertificateKeyFile="privatekey.key" 
    SSLCACertificateFile="intermediate.crt" 
    SSLPassword="thePassForPrivateKey" 
/> 

Answer 4

Просто для уточнения, так как я не был уверен, как справиться с ней после того, как читать эти советы - я поставил все сертификаты и закрытый ключ в PKCS12 keystore, а затем con фигурировал Tomcat, чтобы использовать это хранилище ключей вместо стандартного JKS. Это не сработало для меня с JKS - keytool импортировал только закрытый ключ и сертификат моего сайта из файла PKCS12, но промежуточный сертификат отсутствовал.

Command Я использовал:

openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt 

И в server.xml файл я добавил

keystoreType="PKCS12" 

в определении разъема.

И теперь у меня есть Tomcat 7, обслуживающий контент поверх https с использованием ранее сгенерированного ключа, сертификата и промежуточного сертификата. В моем случае это был только один промежуточный сертификат от RapidSSL.