Переустановите сертификаты ЦС - Tomcat

Я сделал ошибку, и я не могу понять, как отменить.

Я настроил Tomcat для использования HTTPS, который сначала был успешно протестирован с использованием самозаверяющего сертификата с помощью keytool.

Затем я сгенерировал CSR, который был отправлен в центр сертификации, и я получил набор из 4 сертификатов.

Я успешно установил эту цепочку сертификатов, но забыл сначала удалить самозаверяющий сертификат, и сервер не прошел проверку безопасности.

Основываясь на совете, я затем попытался удалить самоподписанные и переустановить сертификаты CA, но я больше не получаю правильный ответ от keytool «Ответ сертификата был установлен в хранилище ключей» - он просто отвечает «Сертификат добавлен в хранилище ключей»

Я предполагаю, что CSR уже получил свой ответ, поэтому есть ли способ переустановить эти сертификаты без создания нового CSR и оплаты новых сертификатов?


java ssl ssl-certificate keytool tomcat
person eggwater    schedule 16.08.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Если вы создали свой CSR через keytool в хранилище ключей, он одновременно сгенерировал самозаверяющий сертификат (по крайней мере, для временного использования) в этой записи. Не удаляйте запись для этого сертификата, так как он также содержит закрытый ключ, который вам нужно будет использовать вместе с полученным сертификатом.

Когда вы импортируете сертификат, выданный вам в этом хранилище ключей, чтобы заменить самозаверяющий сертификат и связать его с закрытым ключом, используемым для CSR, вам необходимо импортировать его обратно с правильным псевдонимом, возможно, с цепочкой, как описано в этом ответе.

person Bruno    schedule 16.08.2012
comment
Я удалил псевдоним, который был присвоен самоподписанному сертификату. Думаю, я облажался. - person eggwater; 16.08.2012
comment
Похоже, резервная копия была бы уместна... Ряд ЦС позволит вам повторно подать заявку с новым CSR на выдачу нового сертификата без дополнительной платы в течение срока действия исходного сертификата. Проверьте с ними. - person Bruno; 16.08.2012
comment
резервная копия да :-( Надеюсь, я смогу отправить новый CSR бесплатно. Мой следующий вопрос: нужно ли удалять собственный сертификат перед установкой сертификата ЦС, как мне сказали? Могу ли я повторно импортировать сертификат ЦС? настроил два сервера сразу после тестирования и подумал, что они были правильными. Это было сканирование безопасности, которое предположило, что самозаверяющий сертификат все еще используется. Когда я вернулся, я не использовал команду -trustcacerts при импорте сертификата CA. Сейчас я немного болтаю, но можно ли каким-либо образом изменить ранее импортированный сертификат CA, чтобы он был доверенным CA, с помощью keytool? - person eggwater; 16.08.2012
comment
Вы должны иметь возможность повторно импортировать сертификат сервера напрямую. Кажется, вы путаете хранилище ключей и хранилище доверенных сертификатов. Вам нужно будет импортировать сертификат и его промежуточные сертификаты CA в цепочку (см. ответ, на который я ссылаюсь) для сертификата вашего сервера, но для хранилища ключей. Вариант -trustcacerts более актуален для доверенного хранилища. - person Bruno; 16.08.2012
comment
Спасибо Бруно. Я импортировал их по цепочке. Все работало нормально, пока какое-то обязательное сканирование безопасности не показало, что самозаверяющий документ все еще находится в системе, и не пометило некоторые ошибки. В инструкциях от поставщика ЦС сказано использовать -trustcacerts - person eggwater; 16.08.2012
comment
Не уверен, какой контекст был у этого центра сертификации (любая ссылка?). Какое сканирование безопасности вы выполняете? - person Bruno; 16.08.2012