SSL通配符證書進入Tomcat

Question

我購買了通配符證書，並試圖在Tomcat 8使用它。

我已經執行了幾行命令以啟用SSL。 啟用了SSL，但是我始終收到使用自簽名證書的警告。 當然不是這種情況，應該使用受信任的證書。

我已經收到了證書和中間證書（來自1and1），並且我發現根證書是由GeoTrust Global CA頒發的（我下載了它）。

生成密鑰： keytool -genkey -alias tomcat -keyalg RSA

添加根證書 keytool -import -alias root -keystore .keystore -trustcacerts -file root.pem

添加中間證書 keytool -import -alias intermed -keystore .keystore -trustcacerts -file intermediate.cer

添加主證書 keytool -import -alias main -keystore .keystore -file main.cer

我已經修改了server.xml的連接器，這是非常簡單的部分，提供了密鑰庫和密碼。

當我瀏覽到域時，我收到警告，說這是一個自簽名證書，我必須添加一個例外，依此類推...

該證書已經在IIS中使用，並且可以正常工作。

使用一些在線工具ssl-checker ，它證明這是一個自簽名證書，並且頒發者等於我在第一個命令開頭提供的“名字和姓氏”。

可能遺漏的問題是什么？

謝謝！

Answer 1

我最近在Java / Keytool中遇到了證書鏈導入和使用的問題。

我的猜測是只有第一個證書發送到客戶端（我假設您使用的是與IIS站點相同的瀏覽器）。 可以使用以下openssl命令的輸出來檢查：

openssl s_client-連接YOURSITE.COM:443 -showcerts

如果被確認，則由於客戶錯過了中間證書，並使您的證書無法進行驗證。 在這種情況下，您可能應該“強制”鍵盤工具（不知道您的Java版本/ OS）來“吃掉”手工制作的證書鏈。

請參閱這篇出色的文章 （這就是我所做的事情）。 記住放所有證書，包括CA Root。