在Tomcat Apache Web服務器上安裝WildCard SSL證書（通過Comodo）

Question

我正在將通配SSL證書安裝到我的密鑰庫中，該證書將用於Apache Tomcat Web服務器。 說明：我的Tomcat服務器已安裝在Windows 2012服務器上。 而且我有COMODO提供的證書。 我正在使用的通配符證書已經在少數服務器上使用過。 所以我直接在apache tomcat服務器上安裝了它。 因此，我使用keytool生成了一個公共密鑰庫，它提供了使用以下工具命令購買證書時所使用的相同信息。

keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore

然后，使用以下常見的“ Comodo”證書將我的證書附加到生成的密鑰庫中

i.keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystoreselfservice.keystore

而且我從上面的命令使用了root，所有中間，主要證書的正確安裝鏈。

在安裝每個證書時，我收到以下消息

"Certificate added to keystore"

雖然我沒有任何錯誤。 當我打開密鑰庫時，沒有證書鏈，這意味着每個證書都有單獨的條目。 但是沒有證書的鏈層次結構，例如“根”，“中間”，“主要”。 在我的最終PI或證書中，我正在將提供者作為本地名字代替Comodo。 范例：

CN=nims.ABC.com,OU=abcCommunications,O=abc Group LLC, L=Roseville,ST=Minnesota,C=US

提供者必須是

CN=COMODO RSA Organization Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB

所以我想知道我錯過了哪些步驟或使用了任何額外的步驟。 請提供安裝通配符證書的解決方案。 提前致謝

Answer 1

您做的一切正確。 信任鏈對於另一個方面很重要。 如果您信任鏈中的一個“證書”，那么您也信任鏈中的以下“證書”。 因此，要信任CA的所有證書，您只需信任根CA的證書即可。

使通配符證書在服務器上起作用的真正需要是導入它的私鑰部分。

Answer 2

我假設您的意思是使用Java SSL（JSSE）而不是APR / Native（OpenSSL）的Tomcat。 如果您需要Tomcat-APR，請更改您的問題。

如果要使用的證書已在其他服務器上使用，並且您使用在NEW服務器上顯示的keytool命令“生成了公共密鑰庫”，則生成的NEW KEY與其他服務器使用的密鑰不同，並且與證書中包含的密鑰不同，因此證書不匹配該新密鑰，並且不能與該新密鑰一起使用。 您還隱式生成（但未替換）自簽名證書，主題和頒發者（您稱為提供者）都可以識別您，而不是像Comodo這樣的CA。 該證書不能很好地用於一般用途，但是對於某些測試很有用，這就是為什么keytool隱式地執行它的原因。

您需要獲取證書，與證書匹配的“已存在”私鑰，以及所需的鏈證書作為privateKey條目進入JKS。 如果現有的SSL服務器是Java（使用JSSE），則只需復制其JKS。 如果要或需要更改新服務器副本上的密碼，請參閱keytool -storepassword和keytool -keypasswd 。

如果現有服務器為OpenSSL（包括Apache httpd和nginx），則將OpenSSL PEM格式轉換為PKCS＃12（最好在舊服務器上）； 根據該服務器的文件布局，這類似於

openssl pkcs12 -export -in certfile -inkey keyfile -certfile chaincert -out xxx

然后使用keytool將PKCS＃12轉換為JKS（最好在新服務器上）

keytool -importkeystore -srckeystore xxx -srcstoretype pkcs12 -destkeystore yyy

請注意，您必須在PKCS＃12上使用密碼。 這並不需要是相同的舊服務器密鑰文件（如有）或新服務器JKS，但它通常是，如果它是更方便。

如果現有服務器是IIS，則應該能夠從mmc的證書管理單元中將帶有私鑰的證書AS PFX / PKCS＃12導出，然后將PKCS12轉換為JKS，如上所述。

如果現有服務器是其他服務器，請將其添加到問題中。