Импорт подписанного сертификата CA для замены самоподписанного сертификата в хранилище ключей сервера

Question

У меня есть существующее хранилище ключей сервера.

хранилище ключей: server_keystore.jks. псевдоним: ab c CN: DNS1 SAN: DNS1, DNS2, DNS3

Требуется заменить самоподписанный сертификат сертификатами, подписанными CA.

Теперь другой человек из моей команды создает хранилище ключей для каждого из 3 серверов.

DNS1.jks DNS2.jks DNS3.jks

& создает запрос на подпись сертификата, генерируя файлы «.csr» для каждого из DNS.

Теперь от CA Authority мы получаем 3 подписанных CA сертификата «.cer» файлов

Я импортировал все три .cer в server_keystore.jks как доверенные сертификаты CA.

1. root
2. Intermediate
3. DNS1.cer, подписанный CA с псевдонимом DNS1
4. DNS2.cer, подписанный CA с псевдонимом DNS2
5. DNS3.cer, подписанный CA с псевдонимом DNS3

Q1. Это действительное хранилище ключей сервера?

Q2. Может ли клиент установить sh безопасное соединение с моим сервером?

Q3. Как заменить самоподписанный сертификат сертификатом, подписанным ЦС? Это с тем же псевдонимом?

Answer 1

Получил ответ. 1. Это недействительное хранилище ключей сервера, потому что самоподписанный сертификат publi c пары ключей должен быть заменен сертификатами publi c ответа CA. Тогда только сервер может ответить с помощью сертификата publi c, подписанного CA, и клиент сможет проверить эту цепочку сертификатов, подписанных CA, на известные корни CA.

Да, но вам необходимо явно предоставить общий доступ к опубликованным на сервере сертификатам c с клиентом, и клиенту необходимо добавить свой самоподписанный сертификат в его список доверенных сертификатов.

Да, вам необходимо заменить самоподписанный сертификат publi c в ключевой паре на сертификат, подписанный CA с тем же псевдонимом, который использовался для создания пары ключей. Пример команды:

keytool -importcert -alias -file -keystore .jks -trustcacerts