个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我所在的环境具有有效的 Microsoft Active Directory 证书服务 (MS ADCS) PKI。在该环境中,我正在部署 this Java app它使用 java key 存储来管理其 https 服务器的 key 和证书。 事实上的管理工具似乎是keytool.exe。可以找到 keytool 的文档 here .
通常推荐的生成 key 对、创建证书请求和导入证书的方法如下:
生成 key 对 keytool -genkey -keyalg RSA -keysize 2048 -alias securekey -keystore keystore
生成证书请求 keytool -certreq -alias securekey -keystore keystore -file NewCertRequest.csr
导入根证书 keytool -importcert -alias root -keystore keystore -file rootcert.csr
导入中间证书 keytool -importcert -alias middleX -keystore keystore -file intcert.csr <= 对每个中间证书重复此操作,订单
导入新签名的证书 keytool -importcert -alias securekey -keystore keystore -file NewlySignedCert.csr
第 3 步建立 trust anchor 。 keytool“打印”证书供您查看,并要求您回答"is"以明确信任该证书。
步骤 4 导入从根链接到新签名证书的信任链中的中间证书。当您导入每个连续的从属中间证书时,keytool 会自动信任它们(或者至少应该如此)。 keytool 表示它具有到信任 anchor 的完整证书路径(即步骤 3 中的根证书)的方式很微妙且记录薄弱:
If the certificate is not found and -noprompt option is not specified, the information of the last certificate in the chain is printed out, and the user is prompted to verify it.
不成文的推论如下:“如果 keytool可以验证信任 anchor 的完整证书路径,它将不会打印出任何证书。”
您可以通过分别使用第 3 步和第 4 步的 GeoTrust Global CA 和 Google Internet Authority G2 证书来确认这一点。 (当您转到 https://www.google.com 时,可以找到绿锁后面的这些证书。)keytool 将打印出根 GeoTrust Global CA 并要求您明确信任它。信任 GeoTrust Global CA 后,keytool 将导入 Google Internet Authority G2,而不打印任何证书,从而表明 keytool 信任Google 互联网管理局 G2。
当我尝试使用我的 MS ADCS 证书(a 上述 google 链)构建信任链时,keytool 无法建立信任链。我不确定到底有什么区别,但是当 keytool 在步骤 4 中打印出证书表明它没有建立到已经信任的信任链时,失败就被暴露了第 3 步中的根证书。
鉴于 keytool 似乎无法链接 MS ADCS 证书,对于我们环境中使用 java key 存储来管理 key 和证书的应用程序,我应该怎么做?
最佳答案
经过多次尝试和错误,我放弃了使用 keytool 来链接 MS ADCS 证书。最终对我有用的方法是使用 Keystore Explorer摄取所有链接在一起的证书的“ bundle ”。
keytool 的其他用户建议通过创建 Base64 编码的 X.509 证书串联来导入证书链。我怀疑这种文件格式有一个正确的官方名称,但我不确定它是什么。本质上,您最终会得到一个如下所示的文本文件:
-----BEGIN CERTIFICATE-----
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
...
5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEBDCCAuygAwIBAgIDAjppMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
...
yuGnBXj8ytqU0CwIPX4WecigUCAkVDNx
-----END CERTIFICATE-----
...
文件中最底部的证书是根证书,上面是上面链中的第一个从属证书,这是第二个证书,一直到您正在使用的设备的新签名证书位于顶部。
所有这些都可以通过使用 Windows 内置加密外壳扩展导出证书来准备,以导出 Base64 编码的 X.509 证书,并使用记事本将它们连接起来。
我尝试使用 keytool 导入包,如下所示:
keytool -importcert -alias securekey -keystore keystore -file bundle.cer
根据文档 keytool 应该对此感到满意,但我收到此错误:
keytool error: java.lang.Exception: Incomplete certificate chain in reply
这并不奇怪。毕竟,这些证书是单独导入时 keytool 无法建立信任链的相同证书。
使用 KeyStore Explorer 打开 keystore (即问题和此答案中名为 keystore 的文件)。右键单击 key 对并选择导入 CA 回复,并将其指向您之前准备的 Base64 编码 X.509 证书包。
至少就我而言,KeyStore Explorer 成功导入了 keytool 失败的 MS ADCS 证书包。导入 bundle 后,我可以继续使用 keytool 管理 key 存储,最终依赖于其 https 服务器的 key 存储的应用程序成功使用我们的 MS ADCS 证书。
关于java - 当 keytool.exe 无法从我的证书建立证书链时,我该怎么办?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21958654/
26
4
0
我通过 spring ioc 编写了一些 Rest 应用程序。但我无法解决这个问题。这是我的异常(exception): org.springframework.beans.factory.BeanC
我对 TestNG、Spring 框架等完全陌生,我正在尝试使用注释 @Value通过 @Configuration 访问配置文件注释。 我在这里想要实现的目标是让控制台从配置文件中写出“hi”,通过
为此工作了几个小时。我完全被难住了。 这是 CS113 的实验室。 如果用户在程序(二进制计算器)结束时选择继续,我们需要使用 goto 语句来到达程序的顶部。 但是,我们还需要释放所有分配的内存。
我正在尝试使用 ffmpeg 库构建一个小的 C 程序。但是我什至无法使用 avformat_open_input() 打开音频文件设置检查错误代码的函数后,我得到以下输出: Error code:
使用 Spring Initializer 创建一个简单的 Spring boot。我只在可用选项下选择 DevTools。 创建项目后,无需对其进行任何更改,即可正常运行程序。 现在,当我尝试在项目
所以我只是在 Mac OS X 中通过 brew 安装了 qt。但是它无法链接它。当我尝试运行 brew link qt 或 brew link --overwrite qt 我得到以下信息: ton
我在提交和 pull 时遇到了问题:在提交的 IDE 中,我看到: warning not all local changes may be shown due to an error: unable
我跑 man gcc | grep "-L" 我明白了 Usage: grep [OPTION]... PATTERN [FILE]... Try `grep --help' for more inf
我有一段代码,旨在接收任何 URL 并将其从网络上撕下来。到目前为止,它运行良好,直到有人给了它这个 URL: http://www.aspensurgical.com/static/images/a
在过去的 5 个小时里,我一直在尝试在我的服务器上设置 WireGuard,但在完成所有设置后,我无法 ping IP 或解析域。 下面是服务器配置 [Interface] Address = 10.
我正在尝试在 GitLab 中 fork 我的一个私有(private)项目,但是当我按下 fork 按钮时,我会收到以下信息: No available namespaces to fork the
我这里遇到了一些问题。我是 node.js 和 Rest API 的新手,但我正在尝试自学。我制作了 REST API,使用 MongoDB 与我的数据库进行通信,我使用 Postman 来测试我的路
下面的代码在控制台中给出以下消息: Uncaught DOMException: Failed to execute 'appendChild' on 'Node': The new child el
我正在尝试调用一个新端点来显示数据,我意识到在上一组有效的数据中,它在数据周围用一对额外的“[]”括号进行控制台,我认为这就是问题是,而新端点不会以我使用数据的方式产生它! 这是 NgFor 失败的原
我正在尝试将我的 Symfony2 应用程序部署到我的 Azure Web 应用程序,但遇到了一些麻烦。 推送到远程时,我在终端中收到以下消息 remote: Updating branch 'mas
Minikube已启动并正在运行,没有任何错误,但是我无法 curl IP。我在这里遵循:https://docs.traefik.io/user-guide/kubernetes/,似乎没有提到关闭
每当我尝试docker组成任何项目时,都会出现以下错误。 我尝试过有和没有sudo 我在这台机器上只有这个问题。我可以在Mac和Amazon WorkSpace上运行相同的容器。 (myslabs)
我正在尝试 pip install stanza 并收到此消息: ERROR: No matching distribution found for torch>=1.3.0 (from stanza
DNS 解析看起来不错,但我无法 ping 我的服务。可能是什么原因? 来自集群中的另一个 Pod: $ ping backend PING backend.default.svc.cluster.l
我正在使用Hibernate 4 + Spring MVC 4当我开始 Apache Tomcat Server 8我收到此错误: Error creating bean with name 'wel
我是一名优秀的程序员,十分优秀!