SSL中間証明書

Question

私たちはSSL証明書を正しく動作させるために多くの問題を抱えています。

pkcs12ファイルを作成し、それをjavaキーストアにエクスポートすることで、既存のキーと証明書からキーストア（複数のソースを使用）を生成しました。

Thawteでは、2つの中間caファイルをインストールする必要があります。キーストアを調べると、3つすべて（2つの中間体と私たち自身）が存在します。 Tomcatが正常に起動しますが、サイトにアクセスして（そしてverisignのsslチェッカーを使用して）、2つの中間証明書が取得されません。

誰でもThawteから証明書をインストールした経験があれば、どんな入力も感謝します。以下のファイルが用意されています。残念ながら、私たちは元のキーストアをCSRの作成に使用していませんが、秘密鍵を持っています。

1. CSRファイル
2. プライベートキー（.keyにファイル）
3. 当社.CRTファイル
4. （別々と.P7Bバンドルファイルなど）Thawte社からプライマリとセカンダリの中間ファイル

を

また、Apacheなしでtomcat 7.0.27を使用しています。

ありがとうございます！

Answer 1

は、我々はそれが正常に働いて得た唯一の方法は、古い証明書を失効し、新しいCSRとそれを更新することにより、だったようです。

Answer 2

あなたのanother questionに回答しましたが、そこからの抜粋もこの問題に役立ちます。

あなたはこのようなすべての中間PEMファイル連結する必要があります

PKCS＃12キーストアへの完全な証明書チェーンを追加するための1つの警告：

cat specific_ca.pem general_ca.pem root_ca.pem > ca_chain.pem 

をそして-CAfile ca_chain.pemを指定し、-caname複数の時間を指定する - でチェーン内のすべての証明書のために一度彼らはca_chain.pemファイルに登場しました。念のPEMのconvertationへ

DER：

openssl x509 -in cert.der -inform der -outform pem -out cert.pem 

Answer 3

私はちょうどすべては多くの方法を試してみました願っていますが、インストールして4月を使用することによって解決するために管理失い始めていた、「1」として考え出す「証明書チェーンの長さ」と同じ問題を抱えていた：

https://stackoverflow.com/a/22391211/2802916

今server.xmlのコネクタは、次のようになります。私は、これらのヒントを読んだ後、それに対処する方法がわからなかったため、ただ明確にする

<Connector port="443" 
    SSLEnabled="true" 
    maxThreads="150" 
    scheme="https" 
    secure="true" 
    clientAuth="false" 
    SSLCertificateFile="thecertificate.cer" 
    SSLCertificateKeyFile="privatekey.key" 
    SSLCACertificateFile="intermediate.crt" 
    SSLPassword="thePassForPrivateKey" 
/> 

Answer 4

- 私はにすべての証明書と秘密鍵を入れていますPKCS12キーストアを使用してTomcatがデフォルトJKSの代わりにそのキーストアを使用するようにしました。私はJKSでうまくいきませんでした - keytoolはPKCS12ファイルから秘密鍵と私のサイト証明書だけをインポートしていましたが、中間証明書はありませんでした。

openssl pkcs12 -export -in mycert.crt -inkey my-key.key -out server.p12 -name site.com -caname intermediate -chain -CAfile intermediate.crt 

をとのserver.xmlファイルで、私はコネクター定義で

keystoreType="PKCS12" 

を追加しました：私が使用している

コマンド。

これで、以前に生成された鍵、証明書、中間証明書を使用してhttpsでコンテンツを提供するTomcat 7ができました。私の場合、RapidSSLの中間証明書は1つだけでした。