У меня был сертификат CA, срок действия которого истекает в этом году. Мой список файлов key.jks, как показано ниже.
inter, Dec 17, 2019, trustedCertEntry,
....
root, Dec 17, 2019, trustedCertEntry,
....
app.domain.com, Dec 29, 2019, PrivateKeyEntry,
Чтобы продлить срок действия, я предоставил тот же файл CSR, который был предоставлен в прошлом году. Теперь у меня есть новые 3 файла crt для внутреннего, корневого и доменного имени.
Теперь я попытался удалить старые записи с помощью
keytool -delete -alias inter -keystore key.jks -storepass pword
keytool -delete -alias root -keystore key.jks -storepass pword
keytool -delete -alias app.domain.com -keystore key.jks -storepass pword
и импортировал новые файлы сертификатов, например
keytool -import -alias inter -file intermediate.crt -keystore key.jks -storepass pword
keytool -import -alias root -file TrustedRoot.crt -keystore key.jks -storepass pword
keytool -import -alias app.domain.com -file app_domain_com.crt -keystore key.jks -storepass pword
Теперь keytool -list
не показывает PrivateKeyEntry для app_domain_com.crt и приложение не появляется.
inter, Dec 15, 2020, trustedCertEntry,
....
root, Dec 15, 2020, trustedCertEntry,
....
app.doamin.com, Dec 15, 2020, trustedCertEntry,
У меня есть интеграция с ADFS SSO, и я хотел избежать изменений из-за этого изменения сертификата.
Ваша третья команда удаления также удалила ваш закрытый ключ. Вот почему ваше приложение не работает, вам нужен ваш закрытый ключ для работы SSL.
Когда вы сказали, что хотите повторно использовать тот же CSR, который использовался в прошлый раз, это означает, что вы планировали использовать тот же закрытый ключ, но удалили его. Вот почему вы видите их как разные типы после удаления и импорта. В вашем первом ключевом инструменте list
у вас есть app.domain.com в качестве PrivateKeyEntry (содержит закрытый ключ и сертификат), но после того, как вы удалили и импортировали сертификат, у вас есть app.domain.com в качестве TrustedCertEntry (только сертификат). Если вы не удалили закрытый ключ, команда импорта свяжет с ним новый сертификат, поскольку закрытый ключ не найден, она просто добавляет сертификат.
В вашем случае вы должны были сделать следующие шаги:
-importcert
.Кое-что, что следует учитывать при попытке повторно использовать тот же CSR, что и в прошлый раз, можно найти здесь , здесь и здесь.
P.S. Надеюсь, вы сделали резервную копию исходного хранилища ключей.
Если вы получили новый сертификат от того же ЦС, что и раньше, есть большая вероятность, что он использует тот же корень и промежуточные звенья — они обычно намного долговечнее, чем сертификаты конечного объекта, срок действия которых обычно составляет год или меньше. Если вы проверили заранее и обнаружили, что они одинаковы, вы можете избежать их удаления и повторной вставки. Тем не менее, ваша настоящая проблема заключалась в удалении записи приватного ключа для конечного объекта, как правильно ответил новичок.