在 Glassfish 应用程序服务器中导入 SSL 证书

Question

我正在尝试在 Netbeans IDE 上的项目上启用 SSL，并使用 Glassfish 应用程序服务器。

对于 SSL；我按照以下步骤操作。

1. 已生成密钥库 > keytool -genkey -alias client_keystore -keyalg RSA -keystore client_keystore.jks -keysize 2048
2. 已生成 CSR > keytool -certreq -alias client_keystore -file yourcsrname.csr -keystore client_keystore.jks
3. 已将 CSR 提交给另一方。
4. 收到了方的三个.pem证书。我将 .pem 转换为 .crt 为openssl x509 -outform der -in your-cert.pem -out your-cert.crt
5. 将证书导入我的密钥库，如下所示；

keytool -import -trustcacerts -alias intermediate -file GoDaddy_Intermediate.crt -keystore client_keystore.jks

keytool -import -trustcacerts -alias root -file GoDaddy_Root.crt -keystore client_keystore.jks

keytool -import -trustcacerts -alias BizSwitch -file BizSwitch.crt -keystore client_keystore.jks

6. 将密钥库导入到默认 glassfish 密钥库 >keytool -importkeystore -srckeystore ~/Downloads/ipay/client_keystore.jks -destkeystore keystore.jks
7. 重新启动 glassfish 服务器。

我不确定是否仅此而已，但我收到了 sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 异常。

重新启动时，从 glassfish 日志中，我也没有看到正在加载的证书。

我错过了什么吗？

Answer 1

您的密钥库是否在文件夹 /domains/domain1/config 中？

看起来 glassfish 没有指向正确的密钥库，因为您正确导入了证书。

Answer 2

您在别名 client_keystore 下创建了密钥对条目，因此您需要将服务器证书导入该别名和条目。假设 BizSwitch 是您的服务器名称，您需要 -importcert -file BizSwitch.crt -alias client_keystore -keystore client_keystore.jks。如果正确，该命令的输出应该是Certificate reply was installed 而不是Certificate was added。 （后者适用于单独的 CA 证书，但不适用于服务器证书。）

此外，您无需转换为 DER。 keytool（或更确切地说是CertificateFactory）已经能够读取 PEM 证书十多年了，甚至自 2012 年左右的 j7 以来，甚至 PEM-with-cmets。（对于某些 other em> 加密对象，如私钥。）

Answer 3

您还应该将证书导入 JVM 的信任库...

参考： Resolving javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed Error?