tomcat证书更新/更新

Question

有很多关于向Tomcat安装证书的文档，但是有关于如何更新/更新证书的说明吗？例如，当我试图遵循猫文档中的说明时，我得到以下信息：

keytool -import -alias root -keystore keystore.pkcs12 -trustcacerts -file ~/tempCerts/gd_bundle-g2-g1.crt 
Enter keystore password:  
keytool error: java.lang.Exception: Certificate not imported, alias <root> already exists

因此，在完成此操作之前，是否需要先删除"root“别名，还是应该选择其他更新证书的方法？或者是否有其他方法来更新/更新证书？

重复一遍，我并不是说证书的最初安装/进口，因为这是有详细记录的。我指的是证书的更新/更新。

OS：CentOS Linux release 7.6.1810 (Core)

Tomcat：8.5.37

Java：OpenJDK Runtime Environment (build 1.8.0_212-b04), OpenJDK 64-Bit Server VM (build 25.212-b04, mixed mode)

Answer 1

好吧，经过多次的反复试验，这就是我发现的。文章和帖子结尾的参考资料帮助了我。这是针对GoDaddy的，但我认为类似的东西也适用于其他提供者。

GoDaddy给了我以下文件：

-rw-rw-r--. 1 wmsodbc wmsV9 1728 Jul 14 09:20 gdig2.crt.pem
-rw-rw-r--. 1 wmsodbc wmsV9 4795 Jul 14 09:20 gd_bundle-g2-g1.crt
-rw-rw-r--. 1 wmsodbc wmsV9 2403 Jul 14 09:20 ddd1343aff339165.pem
-rw-rw-r--. 1 wmsodbc wmsV9 2403 Jul 14 09:20 ddd1343aff339165.crt

在网上查看时，我知道gdig2文件是中间证书，包具有根和中间证书。这个帖子建议分出根证书和中间证书，但是只需转到godaddy存储库并使用curl https://ssl-ccp.godaddy.com/repository/gdroot-g2.crt > gdroot-g2.crt下载根证书就更容易了。

步骤：

1. 复制当前密钥存储库，称为keystore.2020更新
2. 用sudo keytool -storepass <password> -delete -alias root -keystore keystore.2020Renewal删除根别名
3. 用sudo keytool -storepass changeit -delete -alias intermed -keystore keystore.2020Renewal删除别名
4. 使用sudo keytool -storepass <password> -import -alias root -keystore keystore.2020Renewal -trustcacerts -file ~/tempCerts/gdroot-g2.crt导入根
5. 使用sudo keytool -storepass <password> -import -alias intermed -keystore keystore.2020Renewal -trustcacerts -file ~/tempCerts/gdig2.crt.pem导入中间层
6. 使用sudo keytool -import -alias tomcat -keystore keystore.2020Renewal -storepass <password> -file ~/tempCerts/ddd1343aff339165.crt导入主证书
7. 更改server.xml以使用此新密钥存储库
8. 重新启动tomcat以确保更改生效

上次我这么做的时候，我想我也做了类似的事情。因此，这至少应该适用于一些与tomcat相关的SSL更新情况。

引用(部分无用，因为它们不处理“更新”，只处理初始设置，但有良好的起点)

更新2022:我能够再次遵循上述步骤，并取得了成功。根据另一篇文章，我确实尝试过使用keytool -delete -alias tomcat -keystore <keystore copy> (在上面的步骤3之后)，但是当我导入根、intermed和新证书时产生的密钥存储库更小，并且无法工作。基本上，我有两个密钥商店的副本，其中一个我删除根，命名，和tomcat，然后进口的新的顺序。另一个地方我按照上面的指示走。第二个没有任何问题，第一个在访问日志中一直给我HTTP 401错误。因此，总之，理论上遵循上述方向将仍然有效，到2022年。