Eu descobri o problema - eu estava usando o "-keyalg RSA" mas não especificando "-keysize 2048". Portanto, o certificado foi padronizado para 1024 em vez de 2048 e falhando.
Ajustar isso fez tudo funcionar corretamente.
Tenho o SSL em funcionamento e em uso com uma aplicação web do Tomcat 6.0. Recentemente, o certificado SSL (certificado A VeriSign) expirou, eu exportei um Certificate Sign Request (CSR), passei pelo processo e recebi um arquivo de certificado com as informações corretas. O algoritmo de chave é RSA.
O problema ocorre quando tento importar o novo certificado sobre o certificado antigo. O seguinte é a saída do que acontece executando o keytool
D:\keystore>keytool -import -alias tomcat -keyalg RSA -keystore .keystore -trustcacerts -file D:\keystore\Certificates\tomcat_dev.cer
Enter keystore password:
keytool error: java.lang.Exception: Failed to establish chain from reply
FYI, a senha está sendo deixada como o padrão "changeit" (é apenas um servidor de teste de teste).
Tenho certeza de que o erro é da minha parte, mas não sei como remediar. Preciso substituir a CA intermediária também?
Um pouco fora de leads aqui e gostaria de receber todo e qualquer conselho. Obrigado antecipadamente!
Sim, você também terá que incluir / substituir o Intermediário antes de importar o novo certificado. A maioria dos fornecedores de SSL está encadeando através de intermediários nos dias de hoje, o que adiciona etapas.
Tags ssl tomcat tomcat6 ssl-certificate renew