Расширение срока действия сертификата CA хранилища ключей Java

У меня был сертификат CA, срок действия которого истекает в этом году. Мой список файлов key.jks, как показано ниже.

inter, Dec 17, 2019, trustedCertEntry,
....
root, Dec 17, 2019, trustedCertEntry,
....
app.domain.com, Dec 29, 2019, PrivateKeyEntry,

Чтобы продлить срок действия, я предоставил тот же файл CSR, который был предоставлен в прошлом году. Теперь у меня есть новые 3 файла crt для внутреннего, корневого и доменного имени.

Теперь я попытался удалить старые записи с помощью

keytool -delete -alias inter -keystore key.jks -storepass pword
keytool -delete -alias root -keystore key.jks -storepass pword
keytool -delete -alias app.domain.com -keystore key.jks -storepass pword

и импортировал новые файлы сертификатов, например

keytool -import -alias inter -file intermediate.crt -keystore key.jks -storepass pword
keytool -import -alias root -file TrustedRoot.crt -keystore key.jks -storepass pword
keytool -import -alias app.domain.com -file app_domain_com.crt -keystore key.jks -storepass pword

Теперь keytool -list не показывает PrivateKeyEntry для app_domain_com.crt и приложение не появляется.

inter, Dec 15, 2020, trustedCertEntry,
....
root, Dec 15, 2020, trustedCertEntry,
....
app.doamin.com, Dec 15, 2020, trustedCertEntry,

У меня есть интеграция с ADFS SSO, и я хотел избежать изменений из-за этого изменения сертификата.

Если вы получили новый сертификат от того же ЦС, что и раньше, есть большая вероятность, что он использует тот же корень и промежуточные звенья — они обычно намного долговечнее, чем сертификаты конечного объекта, срок действия которых обычно составляет год или меньше. Если вы проверили заранее и обнаружили, что они одинаковы, вы можете избежать их удаления и повторной вставки. Тем не менее, ваша настоящая проблема заключалась в удалении записи приватного ключа для конечного объекта, как правильно ответил новичок.

dave_thompson_085 15.12.2020 21:37
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
Как вычислять биты и понимать побитовые операторы в Java - объяснение с примерами
Как вычислять биты и понимать побитовые операторы в Java - объяснение с примерами
В компьютерном программировании биты играют важнейшую роль в представлении и манипулировании данными на двоичном уровне. Побитовые операции...
Поднятие тревоги для долго выполняющихся методов в Spring Boot
Поднятие тревоги для долго выполняющихся методов в Spring Boot
Приходилось ли вам сталкиваться с требованиями, в которых вас могли попросить поднять тревогу или выдать ошибку, когда метод Java занимает больше...
Полный курс Java для разработчиков веб-сайтов и приложений
Полный курс Java для разработчиков веб-сайтов и приложений
Получите сертификат Java Web и Application Developer, используя наш курс.
0
1
710
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Ваша третья команда удаления также удалила ваш закрытый ключ. Вот почему ваше приложение не работает, вам нужен ваш закрытый ключ для работы SSL.

Когда вы сказали, что хотите повторно использовать тот же CSR, который использовался в прошлый раз, это означает, что вы планировали использовать тот же закрытый ключ, но удалили его. Вот почему вы видите их как разные типы после удаления и импорта. В вашем первом ключевом инструменте list у вас есть app.domain.com в качестве PrivateKeyEntry (содержит закрытый ключ и сертификат), но после того, как вы удалили и импортировали сертификат, у вас есть app.domain.com в качестве TrustedCertEntry (только сертификат). Если вы не удалили закрытый ключ, команда импорта свяжет с ним новый сертификат, поскольку закрытый ключ не найден, она просто добавляет сертификат.

В вашем случае вы должны были сделать следующие шаги:

  1. Не запускать третью команду удаления
  2. Импортировал новый сертификат и связал его с существующим закрытым ключом с помощью команды keytool -importcert.

Кое-что, что следует учитывать при попытке повторно использовать тот же CSR, что и в прошлый раз, можно найти здесь , здесь и здесь.

P.S. Надеюсь, вы сделали резервную копию исходного хранилища ключей.

Другие вопросы по теме