主页 / server / 问题 / 967967
Accepted
logax
Asked: 2019-05-20 04:08:24 +0800 CST

即使我添加了中间证书,它也不在密钥库中

  • 772

我的任务是在服务器中设置一个 ssl,该服务器使用 wildfly,所以我必须创建一个密钥库,其中包含我获得的所有证书、服务器证书、中间证书和密钥文件。

首先,我将服务器证书和中间证书链接起来,然后我使用 openssl 创建了一个 pkc12 文件。然后我使用 keytool 从该 pkc12 文件创建一个密钥库。

问题是当我打开密钥库文件或 pkc12 文件时,我发现它不包含中间证书,它只有服务器证书。我以前做过这个程序并且它有效

任何人都知道问题可能是什么?

额外信息:中间证书有点旧(从 2010 年开始)并且使用 sha1 并且将在 9 个月后过期,这很奇怪,不像我的服务器证书是新的并使用 sha256。

ssl

1 个回答

  1. Best Answer

    显然您的问题可能是错误的中间证书。

    确保您拥有正确的中间证书。

    • 对服务器证书运行以下命令:

      openssl x509 -noout -text -in server.pem | grep 'CA Issuers'

    • 然后打开 grep 找到的 URL:

      wget http://url/ -O intermediate.der

    • 将下载的证书转换为 PEM 格式:

      openssl x509 -in intermediate.der -inform DER -outform PEM -out intermediate.pem

    现在您确定这intermediate.pem是您的服务器证书的正确中间证书。

    假设链中只有一个中间证书。如果还有更多,则需要重复上述命令intermediate.pem以获取intermediate2.pem等等。

    运行以下命令来创建 JKS 存储。

    • 创建证书包:

      cat server.pem intermediate.pem > bundle.pem

    • 创建 pfx/pkcs12 格式包:

      openssl pkcs12 -export -out bundle.pfx -inkey server.key -in bundle.pem

    • 创建 JKS 密钥库:

      keytool -importkeystore -srckeystore bundle.pfx -srcstoretype pkcs12 -destkeystore store.jks -deststoretype JKS

    • 检查密钥库:

      keytool -v -list -keystore store.jks

    您应该会看到以下列表:

    Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: 1
Creation date: May 19, 2019
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=example.com
Issuer: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US
...
Certificate[2]:
Owner: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US
Issuer: CN=DST Root CA X3, O=Digital Signature Trust Co.
...
    • 1

相关问题