导入CA签名证书以替换Server Keystore中的自签名证书

Question

我有一个现有的服务器密钥。

密钥库: server_keystore.jks。

别名: abc

CN : DNS1

DNS1，DNS2，DNS3

要求将自签名证书替换为CA签名证书。

现在，我的团队中的另一个人为这3台服务器中的每一台创建了一个Keystore。

DNS1.jks

DNS2.jks

DNS3.jks

&通过为每个DNS生成".csr“文件来创建证书签名请求。

现在我们从CA管理局收到3个CA签名的证书".cer“文件

我将这三个.cer作为可信的ca证书导入到server_keystore.jks中。

1. root
2. Intermediate
3. CA用别名DNS1
4. CA签名DNS2.cer，别名DNS2
5. CA签名DNS3.cer，别名DNS3

Q1。这是有效的服务器密钥吗？

Q2。客户端能建立到我的服务器的安全连接吗？

Q3。如何将自签名证书替换为CA签名证书？它有相同的别名吗？

Answer 1

找到答案了。1.它不是有效的服务器密钥，因为必须将自签名密钥对公共证书替换为CA应答公共证书。然后只有服务器才能使用CA签名的公共证书进行应答&客户端可以验证CA签名证书链是否符合其已知的CA根。

1. 是，但您需要与客户端共享您的服务器公共证书&客户端需要将您的自签名证书添加到它的受信任证书列表中。
2. 是的，您需要用CA签名的证书替换密钥对中的自签名公共证书，该证书使用用于创建密钥对的别名。示例命令：

关键工具-importcert -alias -file -keystore .jks -trustcacerts