我对证书知之甚少。
需要为作为应用程序一部分的码头(v.9.4.11)添加证书。
尝试使用自签名 - 一切正常。但是现在,需要组织官方证书。
管理员给了我 2 个文件 - .cer 和 .p7b。应用程序文档说足够的命令,例如:
keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore keystore.jks
我将使用 .cer 而不是 .crt 尝试此命令。创建了密钥库,配置了 jetty-http.xml 并启动了应用程序。尝试打开 - 并出现错误 SSL_ERROR_NO_CIPHER_OVERLAP。
检查 openssl 使用 -tsl1/1_1/1_2 连接到我的地址 - 没有,连接正常,但密钥库中没有。
检查密钥库的 keytool 内容 - 1 个条目、trustedCertEntry 和无密钥(非私有/非公开)
是否只使用这 2 个文件进行配置 - .cer/.p7b 还是我需要其他文件?
【问题讨论】:
问题是初学者的 .csr 文件不正确。 -重新创建它
获取 .cer
在 cmd 中运行:certutil -repairstore my "serial" for generate key
导出为 .pfx
-将应用程序连接到 .pfx
【讨论】:
通常在设置 SSL 证书时,您通常会拥有 2 或 3 个文件。
证书的基本工作格式是证书/密钥对。
例如,您可以拥有 example.com 的证书及其关联的密钥。
example.com.cer
example.com.key
如果证书是使用提供商创建的,您很可能还需要根证书颁发机构。例如,在我们的基础架构中,我们的 ROOT CA 采用 .pem 或 .cer 格式。这是我的一个网络服务器的配置,使用 entrust.crt 作为根 ca 链文件:
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SSLCertificateChainFile /etc/apache2/ssl/entrust.crt
在您的情况下,您有一个 .p7b 文件。 P7B 文件通常有多个条目,它们可以包含证书和 ROOT CA 的链。您可以在 Windows 机器中打开 p7b,然后找到证书并右键单击 > 导出。以 Base64 格式导出文件并将其设置在您的服务器上。
【讨论】:
.pem 和 .cer(或 .crt 或 .cert)只是扩展名,并且是任意的,它们的存在只是为了方便人类工作。除此之外还有两种编码格式(PEM 和 DER)和各种容器格式(PKCS#7、PKCS#12)