导入 CA 签名证书以替换服务器密钥库中的自签名证书

Question

我有一个现有的服务器密钥库。

密钥库：server_keystore.jks。
别名：abc
CN : DNS1
SAN：DNS1、DNS2、DNS3

要求是将自签名证书替换为 CA 签名证书。

现在，我团队中的另一个人为 3 台服务器中的每台服务器创建了一个密钥库。

DNS1.jks
DNS2.jks
DNS3.jks

& 通过为每个 DNS 生成“.csr”文件来创建证书签名请求。

现在我们从 CA 机构收到 3 个 CA 签名证书“​​.cer”文件

我将所有三个 .cer 作为受信任的 ca 证书导入到 server_keystore.jks。

1. 根
2. 中级
3. CA 使用别名 DNS1 签署了 DNS1.cer
4. CA 使用别名 DNS2 签署了 DNS2.cer
5. CA 使用别名 DNS3 签署了 DNS3.cer

第一季度。这是有效的服务器密钥库吗？

第二季度。客户端可以与我的服务器建立安全连接吗？

第三季度。我们如何用 CA 签名证书替换自签名证书？是不是同一个别名？

Answer 1

得到了答案。 1. 它不是一个有效的服务器密钥库，因为自签名密钥对公共证书必须替换为 CA 回复公共证书。 然后只有服务器可以回复 CA 签名的公共证书，客户端可以验证 CA 签名的证书链到它的已知 CA 根。

1. 是的，但是您需要明确地与客户端共享您的服务器公共证书，并且客户端需要将您的自签名证书添加到它的受信任证书列表中。

2. 是的，您需要将密钥对中的自签名公共证书替换为使用用于创建密钥对的相同别名的 CA 签名证书。 示例命令：

keytool -importcert -alias -file -keystore .jks -trustcacerts