А есть какие-нибудь утилиты, неважно под какую ОС, которые могут создать конвертируемое в JKS хранилище с цепочкой? Быть может можно как-то указать openssl чтобы он игнорировал «отсутствие» сертификата подписчика?
Secondary в выводе keytool находится выше. -destalias tomcat — алиас в JKS, в который импортруется сертификат, пробовал без него — то же самое. Если не указывать -trustcacerts, то он все равно спрашивает Trust this certificate? и, если ответить no, не добавляет его в хранилище. А какой сертификат будет корневым (http://www.verisign.com/support/roots.html)? Делал по этой инструкции: knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR234
А дальше? Зачем нужно создавать два JKS? Я пробовал так: сначала импортировал в JKS оба intermediate-сертификата VeriSign, потом создавал PKCS12 с моим сертификатом, но без ключа -chain, и импортировал этот PKCS12 в JKS. При этом томкат грузился и все браузеры под линуксом (как минимум фф и chromium) принимали эти сертификаты. А вот firefox под windows отказался принимать, аргументируя это сообщением типа «нет цепочки сертификатов». И действительно, keytool -v -list показывало Chain length: 1, а должно быть 4
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.