Tomcat HTTPS密钥库证书

问题是（显然 – 我无法确认这一点），将先前生成的证书（和匹配密钥）正确导入JKS密钥库并由Tomcat正确呈现它是不可能的。

我的问题发生的情况如下：

1. 我有一个证书文件，我自己使用OpenSSL从头开始生成（密钥+ CSR – >证书），由我自己的CA签名。
2. 我希望配置Tomcat，以便它将此特定证书提供给连接到我的站点的用户。

我发现工作的解决方案是：

1. 将现有证书及其私钥转换为DER格式。 例如（使用OpenSSL）：

   对于私钥 ;

   openssl pkcs8 -topk8 -nocrypt -in my_private_key.key -inform PEM -out my_private_key.der -outform DER

   对于实际签署的证书 ;

   openssl x509 -in my_certificate.crt -inform PEM -out my_certificate.der -outform DER

2. 使用自定义Java类将两个DER文件导入密钥库（JKS文件）。

   java ImportKey my_private_key.der my_certificate.der

   我自己并没有想到这一点（归功于原始发明者）。这个Java类的源代码，以及更多细节可以在这里和这里找到。 我稍微修改了这个类，以便有一个第3（或第4）参数指定生成的JKS文件的输出位置。

最终结果是一个JKS密钥库，然后可以在Tomcat Connector配置中用作密钥库。 上面的工具将生成带有密钥和JKS文件本身的默认密码的JKS文件，稍后可以使用keytool -storepasswd和keytool -keypasswd更改这些密码。 希望这对面临同样问题的人有所帮助。

您的配置应该正常工作。

Tomcat的操作方法解释了为获得合适的JKS而采取的步骤。

确保已使用适当的别名（testKey）将证书导入jks

扩展@Bozho评论，

这非常重要。 “密钥和购买的证书应使用相同的别名” 。

从CA（​​Verisign，Digicert等）购买的SSL证书应使用与创建csr之前生成的私钥相同的别名导入。 使用java keytool将购买的证书导入密钥库后，您将看到“将证书回复添加到密钥库”。

要检查信任链，请使用terminal命令openssl s_client -connect yourdomain.com:443 -showcerts。 它从您的证书开始，最终导致受信任的根CA.