我正在尝试使用SSL配置Tomcat服务器.因此我生成了一个密钥对:
$ keytool -genkeypair -alias tomcat -keyalg RSA -keystore keys
接下来,我生成证书签名请求:
$ keytool -certreq -keyalg RSA -alias tomcat -keystore keys -file tomcat.csr
然后我将内容复制粘贴tomcat.csr到Thawte网站上的表格中,要求提供试用SSL证书.作为回报,我得到两个分隔的证书-----BEGIN ... -----END,我保存在tomcat.crt和thawte.crt.(Thawte将第二个证书称为"Thawte Test CA Root"证书).
当我尝试导入其中任何一个时失败:
$ keytool -importcert -alias tomcat -file tomcat.crt -keystore keys Enter keystore password: keytool error: java.lang.Exception: Failed to establish chain from reply $ keytool -importcert -alias thawte -file thawtetest.crt -keystore keys Enter keystore password: keytool error: java.lang.Exception: Input not an X.509 certificate
将-trustcacerts选项添加到这些命令之一也不会改变任何内容.
知道我在这里做错了什么吗?
我终于明白了这里发生了什么.事实证明,我从Thawte获得的回复被格式化为PKCS#7,而keytool期望以X.509格式进行认证.
openssl 可用于将证书从一种格式转换为另一种格式:
$ openssl pkcs7 -in thawtetest.crt -print_certs | openssl x509 > thawtetest.x509
现在您可以thawtetest.x509使用keytool 导入,紧接着tomcat.crt它.
京公网安备 11010802040832号 | 京ICP备19059560号-6 