Problema substituindo o certificado SSL por um renovado no Tomcat 6.0 (usando keytool)

1

Tenho o SSL em funcionamento e em uso com uma aplicação web do Tomcat 6.0. Recentemente, o certificado SSL (certificado A VeriSign) expirou, eu exportei um Certificate Sign Request (CSR), passei pelo processo e recebi um arquivo de certificado com as informações corretas. O algoritmo de chave é RSA.

O problema ocorre quando tento importar o novo certificado sobre o certificado antigo. O seguinte é a saída do que acontece executando o keytool

D:\keystore>keytool -import -alias tomcat -keyalg RSA -keystore .keystore -trustcacerts -file D:\keystore\Certificates\tomcat_dev.cer

Enter keystore password:

keytool error: java.lang.Exception: Failed to establish chain from reply

FYI, a senha está sendo deixada como o padrão "changeit" (é apenas um servidor de teste de teste).

Tenho certeza de que o erro é da minha parte, mas não sei como remediar. Preciso substituir a CA intermediária também?

Um pouco fora de leads aqui e gostaria de receber todo e qualquer conselho. Obrigado antecipadamente!

    
por SeanKilleen 11.02.2011 / 19:36

2 respostas

1

Eu descobri o problema - eu estava usando o "-keyalg RSA" mas não especificando "-keysize 2048". Portanto, o certificado foi padronizado para 1024 em vez de 2048 e falhando.

Ajustar isso fez tudo funcionar corretamente.

    
por 10.03.2011 / 15:42
1

Sim, você também terá que incluir / substituir o Intermediário antes de importar o novo certificado. A maioria dos fornecedores de SSL está encadeando através de intermediários nos dias de hoje, o que adiciona etapas.

    
por 11.02.2011 / 19:58