在AWS Route 53中獲取域托管區域的SSL證書

Question

該問題的標題很冗長，但是我正在嘗試配置我在AWS上為我的域購買的Go Daddy SSL證書。 我從AWS購買了域名myapp.com （不是真實名稱），然后將myapp.myapp.com配置為Route 53中的記錄集，以指向EC2實例，該實例又在運行我實際的Tomcat服務器。預計用戶會受到打擊。 換句話說，這是用來訪問應用程序/網站的網站，我已經確認它可以正常工作並且可以訪問。

我從Go Daddy購買了myapp.myapp.com的SSL證書。 我按照說明將根證書，中間證書和頒發的證書（總共3個）導入到Java密鑰庫中。 然后，我將Tomcat server.xml配置為使用此密鑰庫。 我不確定我是否正確或正確地執行了此操作（如果有關系的話）。 無論如何，當我嘗試點擊地址時

https://myapp.myapp.com:8443/

我在Chrome上收到以下錯誤：

Your connection is not private
NET::ERR_CERT_AUTHORITY_INVALID

誰能告訴我我在這里做錯了什么？ Go Daddy的客戶支持雖然免費，但不提供此級別的技術支持。 我可以使用AWS，但是他們傾向於收取企業費率。

理想的答案至少包括以下步驟：

1. 如何將Go Daddy證書導入我的Java梯形失真
2. 如何正確配置Tomcat server.xml以使用密鑰庫
3. 進行健全性檢查，其他有類似問題的人也可以使用

以下是Go Daddy返回給我的三個證書：

c4c170b79c58acc3.crt  (root?)
gd_bundle-g2-g1.crt   (intermediate?)
gdig2.crt.pem         (primary/issued?)

我不確定這些證書中的哪一個是根證書，中間證書和已頒發證書，但是這個SO問題會像上面一樣標記它們。

Answer 1

為此，請執行以下操作：

sudo openssl pkcs12 -export -out cs.pkcs12 -inkey /path/to/domain.key -in /path/to/domain.cer -certfile /path/to/domain.ca-bundle -name server -passout somestorepass

sudo keytool -v -importkeystore -srckeystore cs.pkcs12 -srcstoretype PKCS12  -destkeystore keystore.jks -deststoretype JKS  -srcstorepass somestorepass -deststorepass somestorepass

在application.properties

server.ssl.enabled=true
server.ssl.key-alias=server
server.ssl.key-password=somestorepass
server.ssl.key-store-type=JKS

如果您有tomcat，則前兩個命令保持不變，您只需要配置tomcat即可使用正確的alias和正確的密鑰存儲密碼。

看一下tomcat的Connector配置，以配置別名，密鑰庫密碼，密鑰庫等。

編輯：建議您完成后刪除中間文件（不是JKS）。