tomcat - SSL 中間証明書

Question

SSL証明書を正しく機能させるのに多くの問題があります。

最初に pkcs12 ファイルを作成し、それを Java キーストアにエクスポートすることにより、既存のキーと証明書から (複数のソースを使用して) キーストアを生成しました。

現在、Thawte では 2 つの中間 ca ファイルをインストールする必要があります。キーストアを調べると、3 つすべて (2 つの中間体と独自のもの) が存在します。Tomcat は正常に起動しますが、サイトにアクセスすると (および verisign ssl チェッカーを使用すると)、2 つの中間証明書が取得されません。

Thawte から証明書をインストールした経験のある方がいらっしゃいましたら、ご意見をいただければ幸いです。以下のファイルを自由に使用できます。残念ながら、CSR の作成に使用された元のキーストアはありませんが、秘密鍵はあります。

1. CSRファイル
2. 秘密鍵 (.key ファイル)
3. 私たちの .crt ファイル
4. Thawte からのプライマリおよびセカンダリ中間ファイル (個別およびバンドルされた .p7b ファイルとして)

また、Apache なしで tomcat 7.0.27 を使用しています。

ありがとう！

Answer 1

私はあなたの別の質問に答えました。そこからのスニペットもこの問題に役立つはずです。

完全な証明書チェーンを PKCS#12 キーストアに追加するには、すべての中間 PEM ファイルを次のように連結する必要があります。

cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem

そして、複数の時間-CAfile ca_chain.pemを指定して指定します-caname-ファイルに表示される順序で、チェーン内のすべての証明書に対して1回ca_chain.pem。

念のため、DER から PEM への変換:

openssl x509 -in cert.der -inform der -outform pem -out cert.pem

Answer 2

明確にするために、これらのヒントを読んだ後に対処する方法がわからなかったので、すべての証明書と秘密鍵を PKCS12 キーストアに入れ、デフォルトの JKS の代わりにそのキーストアを使用するように Tomcat を構成しました。JKS ではうまくいきませんでした。keytool は PKCS12 ファイルから秘密鍵とサイト証明書のみをインポートしていましたが、中間証明書がありませんでした。

私が使用したコマンド：

openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt

そして、追加したserver.xmlファイルに

keystoreType="PKCS12"

コネクタ定義で。

そして今、以前に生成されたキー、証明書、および中間証明書を使用して、Tomcat 7 が https 経由でコンテンツを提供しています。私の場合、RapidSSL からの中間証明書は 1 つだけでした。

Answer 3

適切に機能させる唯一の方法は、古い証明書を取り消して新しい CSR で更新することだったようです。

Answer 4

「証明書チェーンの長さ」が「1」になるという同じ問題がありました。多くの方法を試してすべての希望を失い始めたところですが、APRをインストールして使用することで解決できました。

https://stackoverflow.com/a/22391211/2802916

server.xml のコネクタは次のようになります。

<Connector port="443"
    SSLEnabled="true"
    maxThreads="150"
    scheme="https"
    secure="true"
    clientAuth="false"
    SSLCertificateFile="thecertificate.cer"
    SSLCertificateKeyFile="privatekey.key"
    SSLCACertificateFile="intermediate.crt"
    SSLPassword="thePassForPrivateKey"
/>