Windows Tomcat7 SSL CA cert说是自签名的

Question

嗨，我正在使用CA的证书在windows 7中配置tomcat7 (7.0.50) (如果有关系的话，委托)。我下载了CA根、链根和链证书文件，以及我的新证书。根据猫导轨，我使用了我生成的csr的密钥存储库，并遵循以下步骤

1. -import -alias委托-trustcacerts -keystore crush.jks -file entrust.crt.txt

提示我证书存在于系统宽CA密钥库中，我仍然添加它

1. 关键工具-import -alias chain-root -trustcacerts -keystore crush.jks -file L1Kchainroot.txt
2. 关键工具-import -alias chain-root -trustcacerts -keystore crush.jks -file L1Kchain.txt
3. 键盘工具-import -alias tomcat -trustcacerts -keystore crush.jks -file entrustcert.crt.txt

现在，当我列出我的密钥存储的内容时，我看到

C:\Users\crush\My Documents\cert>keytool -list -keystore crush.jks
Enter keystore password:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 5 entries

entrust, Mar 30, 2015, trustedCertEntry,   
Certificate fingerprint (SHA1): B3:1E:B1:B7:40:E3:6C:84:02:DA:DC:3

chain, Mar 30, 2015, trustedCertEntry,   
Certificate fingerprint (SHA1): CC:A2:7D:33:C7:35:A7:D0:6D:1F:EC:A

chain-root, Mar 30, 2015, trustedCertEntry,   
Certificate fingerprint (SHA1): 9E:1A:0C:35:E7:14:B6:97:92:D0:90:B

tomcat, Mar 30, 2015, trustedCertEntry,   
Certificate fingerprint (SHA1): 6A:77:EC:32:1E:F9:AC:4F:BE:C7:CB:5

crush-windows7, Mar 26, 2015, PrivateKeyEntry,   
Certificate fingerprint (SHA1): 04:72:8A:36:56:7E:D5:0F:7E:E9:E0:1

现在，我编辑了我的server.xml文件如下

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" 
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1" 
    keystoreFile="C:\Users\crush\apache-tomcat-7.0.50\conf\crush.jks"  
    keystorePass="storepassword" 
    keyPass="keypassword"
/>

当启动并导航到页面时，我将看到一个不受信任的连接警告

crush-windows7.crush.com:8443 uses an invalid security certificate. The certificate is not trusted because it is self-signed. (Error code: sec_error_ca_cert_invalid)

如果我在密钥工具中使用-v并检查返回的证书，我将看到颁发者作为Entrust

Owner: CN=crush-windows7.crush.com, ....
Issuer: CN=Entrust Certification Authority - L1K, OU="(c) 2012 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

但是我的私钥条目的发行人和我一样

Owner: CN=crush-windows7.crush.com, ....
Issuer: CN=crush-windows7.crush.com, ....

我已经花了几个小时来处理这个问题，我在使用openssl而不是没有任何问题的关键工具之前，就已经用linux来处理这个问题了。这会是我的问题吗？不管我尝试了什么连接器配置，如果没有作为别名和keyPass选项集的私钥条目，它就不会启动。如果我删除私钥条目，它将启动，但永远不会完成ssl握手。我对keyAlias使用了“tomcat”别名，它会说

java.io.IOException: Alias name tomcat does not identify a key entry

我是否可以挽救我当前的证书，或者我是否需要生成一个新的私钥和csr并提交一个新的请求，然后将它们移到我的windows机器上？我真的觉得这是我的问题，我是否已经接近达到目的了？用窗户做这个已经不太舒服了，谢谢你的帮助。

Answer 1

您在步骤4中犯了一个小错误:您没有用Entrust颁发的证书更新您的PrivateKeyEntry，而是将它导入为受信任的证书。

正确的命令是：

keytool -import -alias crush-windows7 -trustcacerts -keystore crush.jks -file entrustcert.crt.txt