【问题标题】:Enable SSL on Tomcat using SSL CERTIFICATE, PRIVATE KEY and SSLCertificateChain CERTIFICATE使用 SSL CERTIFICATE、PRIVATE KEY 和 SSLCertificateChain CERTIFICATE 在 Tomcat 上启用 SSL
【发布时间】:2013-11-13 15:11:43
【问题描述】:

我有如下 SSL 证书、私钥和 SSLCertificateChain 证书:

  • SSL 证书:

    -----开始证书-----

    证书在这里

    -----结束证书-----

  • 私钥:

    -----开始 RSA 私钥--

    这里是键

    -----结束 RSA 私钥-----

  • SSLCertificateChain 证书:

    -----开始证书-----

    此处为 SSLCertificateChain

    -----结束证书-----

  • 我已将证书保存在 SSLCertificateFile.crt 中,请键入 SSLCertificateKeyFile.key 和 SSLCertificateChain 证书在 SSLCertificateChainFile.crt。这三个文件都保存在 /opt/tomcat/conf/

  • 在 /opt/tomcat/conf/server.xml 中将连接器修改为:

我已经重新启动了 tomcat 服务器,http://www.digicert.com/help/ 显示错误“SSL 证书不受信任”,如图所示。

文件扩展名或连接器有什么问题吗?

【问题讨论】:

    标签: security tomcat ssl https


    【解决方案1】:

    您已经删除了给出明确答案所需的信息:

    “证书与名称不匹配”意味着您拥有一个服务器名称的证书,但作为另一台服务器访问它 - 这可能就像访问“www.example.com”一样简单,如果“example.com”证书仅对“www.example.com”有效

    “不信任”再次指向不匹配,但您更有可能拥有自签名证书?你没有提到你从哪里得到证书,只是你有它。通过直接访问您的服务器(而不是digicert),您可能会得到同样的不匹配。

    即使您从证书颁发机构获得证书,也要确保它确实是受信任的。我见过“演示”证书(或“0 级”证书),它们是为了证明认证的简易性而颁发的,但没有任何免费的身份检查。那些 0 类证书不受信任。通常,您需要向某些认证机构支付一些钱来购买受信任的证书。

    我假设服务器在 Internet 上是可见的(否则 digicert 将看不到它),因此如果您要共享地址,很容易将您指向实际的根本原因。您还可以检查证书,例如使用 Firefox:这是通过从“不受信任”警告页面上的按钮打开的对话框提供的。

    【讨论】:

    • 我没有关联域名到这个IP。警告“证书与名称不匹配”只是由于使用了 IP 地址。证书有效。 Firefox 说: 使用了无效的安全证书。该证书不受信任,因为它是自签名的。证书仅对有效(错误码:sec_error_ca_cert_invalid)是否与SSLCertificateChain有关?
    • 如果你连接到 10.10.10.10 但有 www.example.com 的证书,那是无效的。如果您有自签名证书,那是不受信任的。无论如何都会出错。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2022-12-27
    • 2011-04-08
    • 2022-10-07
    • 2017-08-24
    • 2019-07-28
    • 2017-10-14
    • 2012-05-30
    相关资源
    最近更新 更多