重新安装 CA 证书 - Tomcat答案

【问题标题】：Reinstall CA certificates - Tomcat重新安装 CA 证书 - Tomcat
【发布时间】：2012-08-16 10:43:01
【问题描述】：

我犯了一个错误，我不知道如何撤消。

我将 Tomcat 配置为使用 HTTPS 首先使用 keytool 使用自签名证书测试成功。

然后我生成了一个 CSR，该 CSR 被发送到证书颁发机构，我收到了一组 4 个证书。

我成功安装了这个证书链，但我忘记先删除自签名证书，服务器安全扫描失败。

根据建议，然后我尝试删除自签名并重新安装 CA 证书，但我不再从 keytool “证书回复已安装在密钥库中”得到正确响应 - 它只是以“已添加到密钥库的证书”作为响应"

我假设 CSR 已经收到了响应，那么有没有办法重新安装这些证书而无需生成新的 CSR 并为新证书付费？

【问题讨论】：

【解决方案1】：

如果您在密钥库中通过keytool 创建了您的 CSR，它会同时在该条目中生成一个自签名证书（至少供临时使用）。不要删除该证书的条目，因为它还包含私钥，您需要将其与您获得的证书一起使用。

当您导入在该密钥库中颁发给您的证书时，要替换自签名证书并将其与用于 CSR 的私钥相关联，您需要使用正确的别名将其重新导入，可能使用链，如this answer 中所述。

【讨论】：

我删除了自签名证书的别名。我想我已经搞砸了。
听起来备份应该是合适的...许多 CA 将允许您在初始证书的有效期内重新申请新的 CSR 以颁发新证书，而无需额外费用。与他们核实。
备份是的 :-( 希望我可以免费发送新的 CSR。我的下一个问题是：是否需要在安装 CA 证书之前删除自我证书，正如我被告知的那样？我可以重新导入CA证书？我测试后一次配置了两台服务器，认为它们是正确的。是安全扫描表明仍在使用自签名证书。当我回来检查时我没有使用@987654323 @ 导入 CA 证书时的命令。我现在有点杂乱无章，但无论如何使用 keytool 将先前导入的 CA 证书修改为可信任的CA？
您应该可以直接重新导入服务器证书。您似乎混淆了密钥库和信任库。您需要为您的服务器证书导入证书及其中间 CA 证书在链中（请参阅我已链接到的答案），但对于密钥库。 -trustcacerts 选项与信任库更相关。
谢谢布鲁诺。我确实将它们导入链中。一切正常，直到一些强制性的安全扫描表明自签名仍在系统中并标记了一些错误。来自 CA 提供商的说明说使用 -trustcacerts