SSL通配符证书进入Tomcat

Question

我购买了一个通配符证书，并试图与Tomcat 8一起使用它。

为了启用SSL，我执行了几行命令。SSL已启用，但我始终收到使用自签名证书的警告。当然，情况不应该是这样，它应该使用受信任的证书。

我已经收到了证书和中间证书(从1到1)，我发现根证书是由GeoTrust Global CA颁发的(我下载了它)。

生成密钥： keytool -genkey -alias tomcat -keyalg RSA

添加根证书 keytool -import -alias root -keystore .keystore -trustcacerts -file root.pem

添加中级证书 keytool -import -alias intermed -keystore .keystore -trustcacerts -file intermediate.cer

添加主证书 keytool -import -alias main -keystore .keystore -file main.cer

我在server.xml中修改了连接器，它非常简单，提供密钥存储库和密码。

当我浏览到域时，我收到一个警告，这是一个自签名证书，我必须添加一个异常，等等.

此证书已在IIS中使用，并且运行良好。

使用一些在线工具ssl-checker，它证明这是一个自签名证书，颁发者等于我在第一个命令开头提供的“名字和姓氏”。

失踪的问题可能是什么？

谢谢!

Answer 1

最近，我在Java/Keytool中遇到了证书链导入和使用方面的问题。

我的猜测是，只向客户端发送第一个证书(假设您使用的浏览器与IIS站点使用的浏览器相同)。这可以使用以下openssl命令的输出进行检查：

openssl s_client -connect YOURSITE.COM:443 -showcerts

如果确认，由于客户端错过了中间证书并使您的证书不可能进行验证。在这种情况下，您可能应该“强制”keytool (不知道java版本/OS)“吃”手工制作的证书链。

请参考这个excellent post (这就是我在我的例子中所做的)。记住把所有的证书，包括CA根。