那些遇到过的问题

无法使用 Java 1.7 keytool 实用程序生成具有主题备用名称的证书

Dou*_* R. 14 ssl certificate keytool

我在使用keytoolJava 1.7 中的 Java实用程序生成带有主题备用名称的密钥对时遇到问题。我正在尝试按照此处找到的说明进行操作。

我正在使用的命令示例如下(此示例已经过测试):

keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1
Run Code Online (Sandbox Code Playgroud)

然后我使用以下命令生成 CSR:

keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr
Run Code Online (Sandbox Code Playgroud)

这会生成以下证书请求:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Run Code Online (Sandbox Code Playgroud)

当我使用SSL Shopper 上CSR 解码器检查 CSR,它没有显示它包含指定的 SAN。此证书供我们环境中的内部使用,并且需要 SAN,因为用户可能正在使用 FQDN、仅服务器名称或 IP 地址访问站点。

我正在继续进行故障排除,但我对证书没有那么丰富的经验,所以我不知所措,我们环境中的大多数其他人都没有keytool用来生成他们的证书。

想法?备择方案?我当然愿意使用不同的方法来生成密钥和 CSR,只要我可以在某个时候将其导入 Java 密钥库。

daw*_*wud 15

您还需要将-ext标志传递给第二个命令:

$ keytool -keystore keystore.jks -storepass changeme -alias spam -certreq -ext san=dns:spam,ip:192.168.0.1 -file spam.csr
Run Code Online (Sandbox Code Playgroud)

然后证书包含替代名称:

$ openssl x509 -noout -text -in spam.csr | grep -A2 "Requested Extensions"
        Requested Extensions:
            X509v3 Subject Alternative Name:
                DNS:spam, IP Address:192.168.0.1
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

28532 次

最近记录:

8 年,2 月 前
相关归档
“在 2019 年 10 月 31 日之前更新您的 Amazon RDS SSL/TLS 证书” 21
为什么不通过 DNS 记录而不是 letencrypt 来验证自签名证书 17
openssl:生成具有非 DNS 主题备用名称的证书请求 11
SSL 证书:无法获取本地颁发者证书 10
Nginx 在使用 https 访问时从错误的“虚拟主机”提供内容 7
SSL 设置:UCC 或通配符证书? 5
使用由服务器 CA 以外的其他 CA 签署的证书验证 HTTPS 客户端 5
通配符 SSL 证书的最大强度是多少 4
一个好的 ssl 证书是否有可能在客户端的计算机上失败? 3
我应该使用 TLS 1.1/TLS 1.2 而不是 SSL v3? 1
难疑归档
可以更改密钥对中的电子邮件地址吗? 177
如何将安全组添加到正在运行的 EC2 实例? 94
在文件系统中存储一百万张图像 80
SSHFS 挂载在断开连接后仍然存在 75
Rsync 在目标目录中创建一个同名目录 75
为什么以太网电缆有 8 根线? 64
Linux FHS:/srv vs /var ...我把东西放在哪里? 62
终止公司 IT 管理员关系 60
是否有相当于 Windows 的 ssh-copy-id? 56
如何扫描本地网络以查找支持 SSH 的计算机? 54