[英]GoDaddy SSL Certificate installation in tomcat… No certificate matches private key
生成Tomcat密钥库
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore
tomcat.keystore
生成证书密钥库
keytool -genkey -alias tomcatCert -keyalg RSA -keystore tomcat.keystore
生成密钥
keytool -certreq -alias tomcat -file csr.txt -keystore tomcat.keystore -storepass pa$$word
合并证书
cat mydomain.crt gd_bundle-g2-g1.crt > combinedcerts
创建P12密钥库
keytool -importkeystore -srckeystore tomcat.keystore -destkeystore tomcatkey.p12 -deststoretype PKCS12 -storepass pa$$word
产生PEM
openssl pkcs12 -in tomcatkey.p12 -out tomcatkey.pem -nodes
正在将剩余的CRT文件导出到密钥库...
openssl pkcs12 -export -chain -CAfile gd_bundle-g2-g1.crt -in combinedcerts -inkey tomcatkey.pem -out new.tomcat.keystore -name tomcat -passout pass:pa$$word
在最后一步中,我收到以下错误:“ 没有证书与私钥匹配 ”
同样的步骤在几年前已经完成,服务器是相同的...只有JDK是8u131 vs 8u45。
有人可以指导我做错什么吗? 谢谢!
生成Tomcat密钥库
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore
tomcat.keystore
否。此步骤可以正常创建密钥库文件,但更重要的是,它可以创建RSA类型的密钥对。
生成证书密钥库
keytool -genkey -alias tomcatCert -keyalg RSA -keystore tomcat.keystore
否。无论如何,此步骤都不会“生成证书密钥库”。 除了在同一个密钥库中在另一个别名下创建另一个密钥对外,它什么都不做,并且别名在整个过程的其余部分中保持未使用状态。 通过检查,它与上一步相同,除了别名更改(毫无意义)和丢失的密钥大小(使它无用)之外。 忽略。
生成密钥
keytool -certreq -alias tomcat -file csr.txt -keystore tomcat.keystore -storepass pa$$word
您已经在第一步中生成了密钥。 此步骤生成证书签名请求(CSR)。
合并证书
cat mydomain.crt gd_bundle-g2-g1.crt > combinedcerts
这里缺少一个步骤,您在其中提交了CSR并将其签名。 大概此过程的结果是mydomain.crt和Godaddy捆绑文件。
创建P12密钥库
keytool -importkeystore -srckeystore tomcat.keystore -destkeystore tomcatkey.p12 -deststoretype PKCS12 -storepass pa$$word
为什么? 如果需要P12密钥库,则可以在第1步及以后使用-storetype PKCS12。 这里缺少一个步骤,您可以在其中将串联的证书重新导入到原始密钥库中。
产生PEM
openssl pkcs12 -in tomcatkey.p12 -out tomcatkey.pem -nodes
为什么?
正在将剩余的CRT文件导出到密钥库...
openssl pkcs12 -export -chain -CAfile gd_bundle-g2-g1.crt -in combinedcerts -inkey tomcatkey.pem -out new.tomcat.keystore -name tomcat -passout pass:pa$$word
为什么?
我不知道您为什么要执行这些OpenSSL步骤。 Tomcat已经可以处理tomcat.keystore
或tomcat.p12
。
在最后一步中,我得到以下错误:“没有证书与私钥匹配”
我不知道您为什么要执行大多数这些步骤。 您永远不会使用tomcatCert
别名,并且通过一个而不是三个无意义的步骤来放置一个已经足够tomcat.keystore
文件。
同样的步骤在几年前已经完成,服务器是相同的...只有JDK是8u131 vs 8u45。
我对此表示怀疑。 它们贴错标签,多余,不完整且完全不连贯。 更有可能的是,有人无助地四处张望,直到某事奏效,然后写下他们所记得的尽可能多的东西。 完全不需要使用OpenSSL工具。 所有你需要的是:
keytool -genkey
。 keytool -certreq
。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.