Est-il possible d'installer existant clé privée et le certificat ssl dans un nouveau fichier de clés?

Nous avons perdu notre fichier de clés d'origine utilisé pour générer le CSR lors d'une panne de serveur. Nous avons une sauvegarde de la clé privée.fichier de clé) et l'origine (RSE.fichier csr). Est-il possible de reconstruire le fichier de clés avec ceux-là? Depuis toutes les instructions pour la création de chaînes de certificats besoin de l'original du fichier de clés.

C'est pour une utilisation avec Tomcat 7.0.27.

Grâce

OriginalL'auteur Nico Huysamen | 2012-04-10

  1. 3

    Oui, cela devrait être possible. Mais en plus de la clé privée, vous aurez également besoin d'un certificat (non rse), qui a été renvoyé par le CA. Les étapes peuvent être trouvés ici

    Que le lien est mort...

    OriginalL'auteur souser

  2. 2

    Si vous n'avez qu'fichier CSR et de perte du certificat, signé par le CA (Thawte, etc.), vous pouvez envoyer ce CSR un autre temps à l'autorité de certification pour signer.

    Ce qui implique, vous avez la clé et le certificat, signé par le CA, au format PEM.

    Convertir cert et la clé dans le fichier PKCS#12 conteneur:

    openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out server.p12 -name test_server -caname root_ca -chain -CAfile cacert.pem

    caname, chain et CAfile sont facultatifs args, ils ajoutent de la chaîne d'autorité de certification dans le récipient.

    Tomcat prend en charge les certificats PKCS#12, mais si vous voulez JKS, il peut être fait à partir de PKCS#12 par keytool (à partir de la version 6 de Java):

    keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore keystore.jks -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass p12pass -srcalias test_server -destalias test_server
    J'ai essayé cette approche. Mais deux choses. 1, je n'ai que le certificat signé par l'autorité de certification en format x509. Et de 2, j'ai besoin d'ajouter deux intermédiaires certifiates de la CA. Je les ai regroupés dans un PKCS7 fichier, mais avec la chaîne de drapeau (qui doit être présent) je ne peut pas le créer. Il se plaint "Erreur impossible d'obtenir local certificat de l'émetteur à l'obtention de la chaîne."
    Vous devez préparer tous les certificats au format PEM. Pour x509 DER des fichiers de commande openssl et des notes sur -chain est dans cette réponse, pour pkcs7 l'utilisation des fichiers openssl pkcs7 -in file.pem -print_certs -out certs.pem.

    OriginalL'auteur alexkasko

  3. 2

    J'ai eu le même problème avec "Certificat de longueur de chaîne" à venir "1", je commence tout juste à perdre tout espoir d'avoir essayé de nombreuses méthodes, mais a réussi à le résoudre en installant et en utilisant AVR:

    https://stackoverflow.com/a/22391211/2802916

    Maintenant le connecteur server.xml ressemble à ceci:

    <Connector port="443"
    SSLEnabled="true"
    maxThreads="150"
    scheme="https"
    secure="true"
    clientAuth="false"
    SSLCertificateFile="thecertificate.cer"
    SSLCertificateKeyFile="privatekey.key"
    SSLCACertificateFile="intermediate.crt"
    SSLPassword="thePassForPrivateKey"
/>

    OriginalL'auteur fredrik.hjarner

  4. -4

    Semble que la seule façon que nous avons obtenu qu'il fonctionne correctement est d'annuler notre certificat existant et de le renouveler avec une nouvelle matière de RSE.

    OriginalL'auteur Nico Huysamen