keystore : server_keystore.jks. alias : abc CN : DNS1 SAN : DNS1, DNS2, DNS3。
现在,我的团队中的另一个人为3台服务器各创建一个Keystore。
DNS1.jks DNS2.jks DNS3.jks
& 通过为每个DNS生成".csr "文件来创建一个证书签名请求。
现在我们从CA Authority收到3个CA签名的证书".cer "文件。
我把这三个.cer都导入到server_keystore.jks,作为可信的ca证书。
Q1. 这个服务器的Keystore是否有效?
Q2. 客户端可以建立安全连接到我的服务器吗?
Q3. 我们如何将自签名的证书替换成CA签名的证书?是否使用相同的别名?
得到了答案.1.它不是一个有效的服务器Keystore,因为自签名的密钥对公共证书必须被替换为CA回复公共证书,然后只有服务器可以回复与CA签名的公共证书& 客户端可以验证CA签名的证书链到它的已知CA根。
是的,但你需要明确地与客户端共享你的服务器公证书& 客户端需要将你的自签名证书添加到它的可信证书列表中。
是的,你需要将密钥对中的自签名公证书替换为使用相同别名的CA签名公证书,该别名用于创建密钥对。
keytool -importcert -alias -file -keystore .jks -trustcacerts...