当社は、Tomcatサーバーの有効なSSLを取得しようとしていると我々は、キーストアインポート信頼チェーンやキーストアにそれをインポートするか、その両方
を管理するためにkeytoolを使用している....が、私はいずれかを考えますセキュリティの背景を持つものが助けることができます!
セット6は私の問題でインポートする必要があり証明書
キーストアにCAをインポートします(Tomcatの名前の)鍵ペアの下 に
追加証明書:私は2つのオプションがあります。
以下のように私は両方をすべきか。最初のオプション(「証明書を鍵ペアに追加」)で十分なら、なぜ鍵ストアに証明書を追加する必要があるのでしょうか?
key pairは、基本的には、private-keyとcertificate chainと表示されます。証明書には公開鍵が含まれています。 keytoolコマンドを使用して鍵ペアを生成すると、それが生成してその秘密鍵に関連付ける自己署名証明書を置くために必要な詳細が尋ねられます。この場合、証明書チェーンには1つの証明書が含まれています。
CSRを生成し、p7bのような単一のファイルに署名付き証明書とその他の信頼チェーン証明書(CAとSubCAの証明書)を受け取った場合は、それらを現在の鍵ペアに追加しますつまり、証明書チェーンを対応する秘密鍵に関連付けることになります。この場合、キーストアエクスプローラでオプションを選択します。
あなたがそれを行う場合は、キーストア・エクスプローラは、このような証明書チェーン構築します:それはあなた-listキーストアの内容は、あなたが表示されます場合は、keytoolを使用して、キーストアにどのように見えるか
CA Certificate (self-signed)
|
|__ 2. Sub CA Certificate (signed by the above CA)
|
|__ 1. Sub-sub CA Certificate (if any) (signed by the above Sub CA)
|
|__ 0. End Entity Certificate (your certificate, signed by the above cert)
が見にa PrivateKeyEntry with Certificate chain length: x。あなたが証明書を追加したり、証明書を削除するように、この証明書チェーンを編集したいときは、キーストア・エクスプローラが提供するEdit Certificate Chainオプションを使用することができます。だからあなたのオプション1に答えるために
。
オプション2に回答する:キーペアのエントリがキーストアに存在するように、証明書も単独で存在することがあります。それはCertificate Entryと呼ばれます。キーストアに証明書のみが含まれている場合は、truststoreと呼ばれます。あなたはcacertsファイルにjavaのインストールフォルダが含まれていると聞いたことがあります。これはトラストストアファイルで、Javaが信頼するすべてのCAおよびSubCAの証明書を含んでいます。 Javaに信頼させたい新しい組織の証明書がある場合、その証明書をcacertファイルに追加します。この場合、Import Trusted Certificateオプションを選択します。
CAの返信をインポートする場合は、技術的にはそれを対応する秘密鍵に関連付けることになっています。だからあなたはImport CA's Replyをやっているはずです。