Назад | Перейти на главную страницу

обновление / обновление сертификата tomcat

Существует множество документов об установке сертификата в Tomcat, но есть ли инструкции по продлению / обновлению сертификата? Например, когда я пытаюсь следовать инструкциям в документы tomcat, Я получаю следующее:

keytool -import -alias root -keystore keystore.pkcs12 -trustcacerts -file ~/tempCerts/gd_bundle-g2-g1.crt 
Enter keystore password:  
keytool error: java.lang.Exception: Certificate not imported, alias <root> already exists

Так что мне нужно сначала удалить "корневой" псевдоним, прежде чем я смогу это сделать, или я должен выбрать другие методы для обновления сертификата? Или есть другой способ продлить / обновить сертификат?

Повторяю, я НЕ говорю о первоначальной установке / импорте сертификата, что хорошо задокументировано. Я говорю о продлении / обновлении сертификата.

ОПЕРАЦИОННЫЕ СИСТЕМЫ: CentOS Linux release 7.6.1810 (Core)

Кот: 8.5.37

Ява: OpenJDK Runtime Environment (build 1.8.0_212-b04), OpenJDK 64-Bit Server VM (build 25.212-b04, mixed mode)

Хорошо, методом проб и ошибок я нашел вот что. Ссылки в конце статей и сообщений, которые мне помогли. Это для GoDaddy, но я полагаю, что что-то подобное подойдет и для других провайдеров.

GoDaddy предоставил мне следующие файлы:

-rw-rw-r--. 1 wmsodbc wmsV9 1728 Jul 14 09:20 gdig2.crt.pem
-rw-rw-r--. 1 wmsodbc wmsV9 4795 Jul 14 09:20 gd_bundle-g2-g1.crt
-rw-rw-r--. 1 wmsodbc wmsV9 2403 Jul 14 09:20 ddd1343aff339165.pem
-rw-rw-r--. 1 wmsodbc wmsV9 2403 Jul 14 09:20 ddd1343aff339165.crt

При поиске в Интернете я знаю, что файл gdig2 является промежуточным сертификатом, а пакет имеет корневой и промежуточный сертификаты. это Почта предлагалось удалить корневой и промежуточный сертификаты, но было проще просто перейти в репозиторий godaddy и загрузить корневой сертификат, используя curl https://ssl-ccp.godaddy.com/repository/gdroot-g2.crt > gdroot-g2.crt.

Шаги:

  1. Сделайте копию текущего хранилища ключей под названием keystore.2020Продление ниже
  2. Удалить корневой псевдоним с помощью sudo keytool -storepass <password> -delete -alias root -keystore keystore.2020Renewal
  3. Удалить промежуточный псевдоним с помощью sudo keytool -storepass changeit -delete -alias intermed -keystore keystore.2020Renewal
  4. Импортировать root с помощью sudo keytool -storepass <password> -import -alias root -keystore keystore.2020Renewal -trustcacerts -file ~/tempCerts/gdroot-g2.crt
  5. Импортировать промежуточное с помощью sudo keytool -storepass <password> -import -alias intermed -keystore keystore.2020Renewal -trustcacerts -file ~/tempCerts/gdig2.crt.pem
  6. Импортировать основной сертификат с помощью sudo keytool -import -alias tomcat -keystore keystore.2020Renewal -storepass changeit -file ~/tempCerts/ddd1343aff339165.crt
  7. Измените server.xml, чтобы использовать это новое хранилище ключей
  8. Перезапустите tomcat, чтобы изменения вступили в силу.

В последний раз, когда я делал это, я думаю, что делал что-то подобное. Таким образом, это должно работать по крайней мере с несколькими ситуациями обновления SSL, связанными с tomcat.

Ссылка на Tomcat (частично бесполезна, поскольку они не обрабатывают «обновление», а только начальную настройку, но достойную отправную точку)