#ssl #tomcat #certificate #keystore #ca
Вопрос:
Я настроил ssl на tomcat с помощью следующих шагов.
- импортировал сертификат в jks
keytool -импорт -псевдоним *.company.com -trustcacerts -файл D:OpenTextkeystorestar_company_com_vm1.p7b -хранилище ключей D:OpenTextkeystoreserver_company_com.jks
- настроено web.xml
Когда я открываю страницу deufalt на сервере с полным доменным именем сервера(например server.domain.com), сертификат загружается правильно. 
Но если я откроюсь за пределами сервера(Интернет) по dns-адресу(например dns.domain.com), возникает проблема с ненадежным сертификатом.
Сгенерированный сертификат имеет CN как *.domain.com и САН как *.domain.com и отдельные URL-адреса полного доменного имени dns . URL-адрес, по которому есть проблема с сертификатом, точно такой же, как указано в SAN. в чем может быть проблема ?
Список хранилищ ключей:
Комментарии:
1. Вы импортировали сертификат с псевдонимом
*.company.com, в то время как конфигурация вашего сервера (которая, кстати, должна содержать текст, а не изображение) используетserverпсевдоним. Можете ли вы перечислить записи в своем хранилище ключей (keytool -list -keystore <file>) и добавить результат к вопросу?2. К вашему сведению, используя тот же псевдоним (изображение снова изменено ) <Порт соединителя=»443″ maxHttpHeaderSize=»8192″ maxThreads=»100″ MinSpareThreads=»25″ MaxSpareThreads=»75″ enableLookups=»ложь» disableUploadTimeout=»истина» acceptCount=»100″ схема=»https» безопасный=»истина» SSLEnabled=»истина» clientAuth=»ложь» SSLProtocol=»TLS» keyAlias=»*.company.com» keystoreFile=»confserver_company_com.jks» keystorePass=»тест» />
3. добавлено изображение списка хранилищ ключей. *.company.com выходы.
4. Вы уверены, что сертификат содержит
SANрасширение? Браузер сообщает, что он отсутствует.5. да. SAN содержит тот же dns-адрес, который загружается в браузере.
Ответ №1:
проблема устранена после импорта сертификата PFX на веб — шлюзе