Трудность установки SSL-сертификата в Tomcat

Question

У меня проблемы с установкой сертификата SSL в мою среду разработки Tomcat 9 Win7.Как я понимаю, в Tomcat SSL сертификат должен быть импортирован с использованием псевдонима существующего закрытого ключа, который использовался при создании сертификата.Я получил сертификат от Godady, используя свою производственную систему LIUNX, и, следуя их инструкциям, я создал хранилище ключей на своей машине для разработки Win7 с параметром –genkey, импортировал корневой сертификат и импортировал сертификат разработчика, используя тот же псевдоним, который использовался для созданияхранилище ключей.

Однако, когда я импортирую сертификат разработчика, я получаю сообщение об ошибке, что ключ, на который ссылается псевдоним импорта, не совместим с ключом, с которым был создан сертификат (опция -genkey).

keytool error: java.lang.Exception: Public keys in reply and keystore don't match

У меня есть закрытый ключ, который использовался для запроса сертификата в виде файла .key, но он не будет импортирован в хранилище ключей, что приведет к ошибке, что файл не является действительным сертификатом x509.Закрытый .key файл доступен для чтения в виде текстового файла и отформатирован как:

-----BEGIN PRIVATE KEY----- 
            …
-----END PRIVATE KEY-----

Я также не уверен, что импортированный сертификат комплекта является корневым сертификатом, или если мне нужен другой сертификат, но я не думаю, чтоэто вызывает эту проблему, это может быть проблемой в дальнейшем при попытке на самом деле использовать сертификат.Это команды, которые я использовал.Любая помощь будет оценена.

REM Create the keystore
keytool -alias tomcat -keysize 2048 -genkey -keyalg RSA -keystore tomcat.keystore

REM Imnport the root cert
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file gd_bundle-g2-g1.crt

REM Import the dev cert
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file my_dev_cert.crt

Answer 1

Я понял, как это сделать.Важной частью является создание временного хранилища ключей, содержащего как сертификат, так и закрытый ключ, а затем импортирует все временное хранилище ключей в целевое хранилище ключей Tomcat.Для этого нужен openssl.Вот резюме шагов, которые успешно установили сертификат SSL в tomcat:

REM Run on LINUX.  This makes a new keystore with the cert and private key in it.  Then import the whole keystore into the Tomcat keystore
sudo openssl pkcs12 -export -in mycert.crt -inkey mycertsprivatekey.key -name myalias -out tempkeystore.p12

copy temp keystore to windows.

REM Run on Windows. Create the tomcat keystore
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore

REM Import the root cert
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file gd_bundle-g2-g1.crt

REM Import the temp keystore with the real private key and cert into the real keystore
keytool -importkeystore -deststorepass XXXXXX -destkeystore tomcat.keystore -srckeystore tempkeystore.p12 -srcstoretype PKCS12

REM Check the keystore contents
keytool -list -keystore tomcat.keystore

REM Configure tomcat server.xml using the above -name option as the key alias

    <Connector 
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="/dev/ssl/tomcat.keystore" keystorePass="XXXXXX" keyAlias="myalias"
           clientAuth="false" sslProtocol="TLS"/>