在Tomcat上設置ssl證書：無效鏈

Question

我試圖在服務器上設置Thawte 123SSL證書，但我失去了用於生成CSR的原始密鑰庫。但是我有.p12文件使用私鑰和.crt的，所以我用了一句創建了一個新的密鑰庫：

密鑰工具-importkeystore -srckeystore file.p12 -srcstoretype PKCS12 -destkeystore /路徑/到/ keystore.jks

在那之後，我添加了中間CA證書爲：

密鑰工具-import -alias主-trustcacerts -file SSL123_PrimaryCA.pem -keystore keystore.jks

的keytool -import -alias二次-trustcacerts -file SSL123_SecondaryCA.pem -keystore keystore.jks

然後我添加了一個連接器端口，以我的server.xml

我覺得這一切，但是當我檢查與Thawte的證書檢查https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555狀態失敗，原因是無效的鏈條：

請安裝或更換以下中間CA證書您的網站或應用程序服務器上 並再次執行該測試。

那麼..我究竟做錯了什麼？我該如何解決這個問題？

感謝您的任何建議！

Answer 1

密鑰庫有點棘手。

當您通過執行「keytool -list -v -keystore [keystorename]」查看密鑰庫並查看多個證書鏈接時，很可能安裝的中間件很好。 Thawte檢查器略有過時，並期待可能與現代標準不同的證書鏈。

根據密鑰工具的版本，它可能不喜歡這些文件的。質子交換膜擴展

的keytool -import -alias -trustcacerts -keystore secondaryIntermediate -file your_keystore_filename secondary_inter.cer

密鑰工具 - 導入 - trustcacerts -alias primaryIntermediate -keystore your_keystore_filename -file primary_inter.cer

如果用密鑰庫打了很多有所謂portecle http://portecle.sourceforge.net/這就是免費在線下載，您可以使用GUI工具。這使得修復和使用密鑰庫變得更容易。

Answer 2

在其他別名中導入中間證書不會產生任何影響，您需要一次性導入整個鏈到私鑰所在的別名中，如this answer中所述。