浏览器不接受StartSSL 1类证书(WebLogic10.0.1)

Question

我已经向StartSSL申请了一个1级证书，并将其安装在WebLogic10.0.1中(见截图)。

​

​

浏览器(Windows7上的Chrome和IE9，XPSP3上的IE8 )仍然会给出一个证书错误(见截图)。

​

​

我认为在几个浏览器(参见here)中都可以使用StartSSL根证书。请给我建议。

Answer 1

StartSSL 1类证书由中间CA签名，中间CA由StartCom根CA签名。要使您的浏览器信任此证书，它需要知道它已经知道的根CA的信任链。

您的服务器需要将完整的信任链发送到浏览器(不包括根CA)，以便您的浏览器可以验证您的证书是否可信。

有关更多信息，请参阅StartSSL FAQ。

Answer 2

找到了问题所在。我在密钥库中错误地导入了StartSSL证书。另外，我在Weblogic控制台中指定了"weblogic“作为别名，它不是证书，而是公钥/私钥对。我正在使用Portecle编辑密钥库。

当我注意到我可能使用了错误的别名时，我将其更改为证书的别名。这导致了一个Weblogic错误：

Inconsistent security configuration, weblogic.management.configuration.ConfigurationException: No identity key/certificate entry was found under alias startssl-hostname in keystore keystore_StartSSL on server servername

最后，我按照以下步骤将证书和私钥打包到一个PKCS#12密钥库中。然后我使用Portecle将该keystore导入到我们的java keystore中：

1. 使用Portecle将"weblogic“公钥/私钥导出为PKCS#12，并使用openssl从此密钥库导出私钥：

openssl pkcs12 -in weblogic.p12 -nocerts -out使用openssl将证书和私钥privatekey.pem

• Package as a PKCS#12 keystore (cert.p12)：

openssl pkcs12 -export -in cert.cer -inkey privatekey.pem -out cert.p12 -name -CAfile ca.pem -caname根

• 使用Portecle将cert.p12文件导入到我们的java密钥库中，使用" cert“作为Weblogic配置，以使用带有正确密码的"cert”别名。

它成功了！

PS:自从Portecle一度抱怨这个问题以来，我一直在添加JCE unlimited strength policy。

Answer 3

通常，信任库和密钥库是分开的，但它不会导致上面的错误。

如果您的浏览器不信任CA，则您将收到上述错误。您需要将根CA添加到浏览器中。您可以检查浏览器支持的证书。例如，IE ->工具->互联网选项-> Content ->证书->受信任的根CA

假设您需要将其导入到一个或两个浏览器中，这不是什么大问题。但是，如果您需要在整个企业(即100或1000个浏览器)中执行此操作，您将需要桌面支持团队的帮助！