Импорт нескольких ЦС в хранилище доверенных сертификатов с тем же именем CN, но с другим псевдонимом

Question

На одном из моих серверов я импортировал 2 центра сертификации, имеющие одно и то же имя CN с разными псевдонимами в доверенности.

Вышеуказанное необходимо, потому что подпись ЦС была изменена, поэтому для поддержки связи SSL старого и нового устройства мне нужно: у меня в центре внимания оба CA

Теперь проблема в том, что только одно из устройств со старым ЦС передает SSL сообщение.

Когда я добавляю оба файла CA в файл cacerts, мое новое устройство передает ssl-соединение, а старое выходит из строя (потому что оно не проверяет его в отношении другого CA).

Итак, теперь я хочу знать, почему у нас два разных поведения, когда CA импортируются в файл truststore vs cacerts.

Также, как я могу справиться с этой ситуацией и заставить ее работать. (У меня нет возможности создать новый центр сертификации с другим именем CN, чтобы этот параметр не входил в область действия)

Answer 1

Я считаю, что это касается виртуального хоста.

У вас есть:

https://host -1 . company-A .com / app-1, которая работает.

Теперь компания-A была объединена в компанию-B, и вам все еще нужно поддерживать оба. И вам необходимо поддерживать оба с одним и тем же развертыванием Tomcat (в конечном итоге это одно и то же приложение):

https://host -1 . компания-B .com / приложение-1

Итак, вам нужно 2 виртуальных хоста на одном хосте-1 Каждый виртуальный хост со своим сертификатом и псевдонимом. Каждый сертификат имеет свою цепочку CA.

Подробнее о виртуальном хосте Tomcat здесь и здесь .

Еще один более простой вариант - использовать псевдонимы хостов, которые будут ссылаться на несколько доменов в одном контексте. Читайте здесь .