У меня есть корневой сертификат, которому я доверяю, у меня также есть промежуточный сертификат, выданный доверенным корневым центром сертификации, и окончательный сертификат, выданный промежуточным центром сертификации. Все три сертификата в формате PEM
Цепочка правильная, проверено следующей командой:
openssl.exe проверяет -show_chain -CAfile root.pem -не доверенные промежуточные.pem FinalCertificate.crt
Для Tomcat я хочу поместить это в хранилище ключей сертификатов.
Я могу объединить все файлы сертификатов CA в один файл и использовать openssl для создания нового файла хранилища ключей P12:
openssl pkcs12 -export -chain^
-name TomCat^
- CAfile AllCAfiles.PEM^
- in finalCertificate.crt^
- key finalCertificate.Key^
- out Tomcat.Keystore.P12
Кажется, что это работает, хотя, если я попрошу перечислить сертификаты, он говорит, что у меня есть только один сертификат.
%java_home%\bin\keytool -list -storetype PKCS12 -keystore Tomcat.Keystore.P12
Ответ: your keystore contains 1 entry. Информация показывает информацию об окончательном сертификате.
Если я также укажу параметр -v (подробный), это показывает, что полная цепочка находится в магазине
Вопрос: Если я получу новый сертификат, которому могу доверять, поскольку CA-сертификаты уже есть в хранилище ключей, как мне его добавить?
Или странно иметь несколько сертификатов в моем хранилище ключей?
Могу ли я создать пустое хранилище ключей или одно только с моим корневым сертификатом и добавить другие сертификаты один за другим? Будет ли это иметь значение при проверке сертификата?