CA에서 서명한 인증서가 2개 있습니다. 이 인증서를 사용하여 Tomcat에서 SSL을 활성화하고 싶습니다.
다음 명령을 실행하여 jks 파일을 만들고 인증서를 해당 jks 파일로 가져왔습니다.
1. keytool -genkey -alias bmark.com -keyalg RSA -keystore keystore.jks
2. keytool -import -alias root -keystore keystore.jks -trustcacerts -file b32dasd75493.crt
3. keytool -import -alias intermed -keystore keystore.jks -trustcacerts -file sf_bundle-g2-g1.crt
Tomcat의 server.xml에서 https를 활성화했습니다.
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/Users/test/Desktop/keystore.jks" keystorePass="changeme"/>
Tomcat을 시작하고 URL을 열었습니다.https://bmark.com:8080크롬에서는 CA 서명 SSL 인증서가 신뢰할 수 없으며 자체 서명되었다고 주장합니다. 이 파일 외에 다른 파일이 필요한가요? 이 문제를 어떻게 해결할 수 있나요?
답변1
CA 응답이 올바르게 설치되었는지 확인하려면 다음을 실행하세요.
keytool -list -keystore /Users/test/Desktop/keystore.jks -alias bmark.com -v
리프에서 루트까지 인증서 체인이 표시되어야 합니다.
커넥터 정의에서키 별칭이므로 발견된 첫 번째 인증서가 사용됩니다. 다음으로 변경하세요.
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/Users/test/Desktop/keystore.jks"
keystorePass="changeme"
keyAlias="bmark.com" />
또는 사용 중인 경우톰캣 8.5(그러면 안 된다톰캣 8.0을 사용하세요), 새 SSL 구성으로 전환합니다.
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" scheme="https" secure="true" SSLEnabled="true">
<SSLHostConfig protocols="TLS">
<Certificate certificateKeystoreFile="/Users/test/Desktop/keystore.jks"
certificateKeystorePassword="changeme"
certificateKeyAlias="bmark.com" />
</SSLHostConfig>
</Connector>
편집하다: 세 가지 인증서를 모두 설치하려면 인증서와 줄기부터 루트까지 순서대로 중간 항목이 포함된 파일이 필요하며 다음을 실행합니다.
keytool -importcert -keystore /Users/test/Desktop/keystore.jks\
-alias bmark.com -file <chain_file> -trustcacerts
또는 뿌리부터 줄기까지 별도로 삽입할 수도 있습니다.