java.lang.Exception: les clés Publiques de répondre et de magasin de clés ne correspondent pas

- Je accès à un service web hébergé sur le port 443.Fournisseur de services a partagé trois certificat avec nous.

  1. ABCD.cer
  2. CA_Certificate.cer
  3. CCA_Certificate.cer

J'ai à ajouter à keystore par la création d'un formulaire de chaîne pour la communication SSL.J'ai suivi les étapes ci-dessous.

  1. keytool -keystore npci_keystore_test.jks -genkey -alias npci_client_testore 

       Result :- keystore npci_keystore_test.jks created.

  2. keytool -import -keystore npci_keystore_test.jks -file CA_Certificate.cer -alias theCARoot

       Result :- certificate CA_Certificate.cer is added to keystore.

  3. keytool -import -keystore npci_keystore_test.jks -file CCA_Certificate.cer -alias theCCARoot

       Result :- certificate CCA_Certificate.cer is added to keystore.

  4. keytool -import -keystore npci_keystore_test.jks -file ABCD.cer -alias npci_client_testore

    À l'étape 4 j'ai ci-dessous exception

    Entrez le mot de passe du keystore: (et quand je rentre le mot de passe j'ai ci-dessous exception)

    keytool erreur: java.lang.Exception: les clés Publiques de répondre et de magasin de clés ne correspondent pas

Je l'ai déjà fait de la recherche dans l'affirmative,mais jusqu'à présent aucune chance.

Je suis en dessous de source pour créer le magasin et l'importation de certificat.
JKS Keystore

EDIT:---

Je l'ai testé en changeant l'ordre d'importation de certificat,mais pas de chance jusqu'à présent.

InformationsquelleAutor RE350 | 2015-01-02
  1. 14

    Le lien dans votre question explique comment créer un fichier de clés SSL pour un serveur, ce qui n'est pas ce que vous voulez faire. Ce que vous avez fait était:

    1. Créer une nouvelle paire de clés
    2. Ajouter un certificat de confiance pour le fichier de clés
    3. Ajouter un autre certificat de confiance pour le fichier de clés
    4. Essayez d'importer le certificat SSL du serveur de certificat pour votre paire de clés

    L'étape 4 ne fonctionne pas parce que le certificat SSL a été généré pour un de complètement différent de la paire de clés.

    Les trois certificats sont probablement:

    1. Le certificat SSL du webservice
    2. Le certificat d'autorité de certification qui a signé le certificat SSL
    3. Le certificat racine qui a signé le CA

    Ce que vous avez à faire maintenant est d'ajouter une ancre de confiance de votre truststore (par défaut: ${JAVA_HOME}/jre/lib/security/cacerts), avec le résultat que votre client accepte le certificat SSL du webservice.

    Généralement la SSL du serveur envoie l'ensemble de la chaîne, sauf pour le certificat racine au client lors de la connexion SSL. Cela signifie que vous devez ajouter le certificat racine de votre truststore:

    keytool -import -keystore ${JAVA_HOME}/jre/lib/security/cacerts -file CCA_Certificate.cer -alias theCCARoot

    Des étapes supplémentaires sont nécessaires si le webservice nécessite l'authentification de client SSL, mais vous n'avez jamais mentionné l'authentification du client, donc je suppose qu'il n'est pas nécessaire.

    • Voulez-vous dire je vais d'abord vous devez ajouter le certificat Racine de la DPA (dans mon cas) dans le truststore et de repos (ABCD,CA) dans le fichier de clés??
    • Non, tant que vous n'avez pas besoin de l'authentification du client, pas de fichier de clés est nécessaire à tous.
    • J'ai réellement besoin de faire un appel à partir de JAVA client à un service rest(Troisième partie), hébergé par le port 443, ça veut dire que j'ai besoin d'importer toutes ces certificat de confiance en magasin seulement?
    • Vous pouvez utiliser l'Explorateur de fichier de clés pour vérifier si l'authentification du client est requise: Outils -> Examiner le protocole SSL (congé "Activer l'Authentification du Client" cochée). Si vous pouvez accéder au service sans erreurs, alors il est n'est pas nécessaire.
    InformationsquelleAutor Omikron
  2. 28

    La question ici est l'alias que vous avez utilisé lors de l'importation du certificat qui est similaire à celui que vous avez utilisé lors de la création du JKS magasin. Il suffit de changer l'alias et il permettra de résoudre votre problème. Le document source [1] doit être corrigée en conséquence.

    [1] http://docs.oracle.com/cd/E19509-01/820-3503/ggfgo/index.html

    • mais dans ce cas il n'y aura pas chaninig entre la clé et le certificat
    InformationsquelleAutor Ravindra Ranwala
  3. 6

    Dans les 4 point (là où vous obtenez l'erreur : keytool erreur: java.lang.Exception: les clés Publiques de répondre et de magasin de clés ne correspondent pas) lorsque vous importez le certificat, s'il vous plaît changer l'alias. Les alias ne doit pas être npci_client_testore comme il est déjà utilisé un alias du fichier de clés.

    • Changer l'alias a fonctionné pour moi
    • Comment est-ce différent de la solution proposée par @RavindraRanwala sur Juillet 1 '16 à 3:19?
    InformationsquelleAutor Rishi Raj Tandon
  4. 3

    Dans mon cas, le "Le certificat racine qui a signé le CA" est absent de la chaîne. Veuillez vérifier si vous avez ce certificat RACINE CA sinon l'exportation à partir de l'Intermédiaire et de l'importer dans le fichier de clés. L'importation de l'autorité de certification Racine dans mon fichier de clés a fonctionné pour moi.

    InformationsquelleAutor azhar buttar
  5. 1

    J'ai eu la même erreur d'exception (fichier de stockage des clés ne correspondent pas) avec hébergement Tomcat8. Si vous avez entré un wrong domain name ou no domain name lors de la création de votre fichier de clés, vous aurez besoin de re-créer votre fichier de magasin de clés de nouveau et renvoyez votre RSE de nouveau à votre Autorité de Certification (CA) licence/reconnu/approuvé à délivrer des Certificats de Signature Numérique (Godaddy dans mon cas).

    Voici les commandes pour créer un fichier de magasin de clés: 

    keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
keytool -importkeystore -srckeystore tomcat.keystore -destkeystore tomcat.keystore -deststoretype pkcs12

    (Vous devez entrez le nom de domaine lorsque l'invite vous demande un nom et prénom, c'est la demande de l' Nom de Domaine Pleinement Qualifié (FDQN), par exemple http://www.example.com). De la Ville, l'État et la Province - do not abbreviate

    Entrez la commande suivante pour créer la RSE (dans le même répertoire que votre serveur tomcat.emplacement du fichier de stockage des clés): 

    keytool -certreq -keyalg RSA -alias tomcat -file myFQDN.csr -keystore tomcat.keystore

    Remarque: en Raison de mon erreur précédente, j'ai dû supprimer tous mes Godaddy certificats de ma console windows (MMC).

    Une fois votre Certificat de fichiers sont prêts à partir de votre Autorité de Certification. Télécharger les fichiers et double-cliquez sur chacun des 2 .crt fichiers afin de les réinstaller à nouveau dans windows (Choisissez installer automatiquement sur la Machine Locale). Assurez-vous de sauvegarder votre serveur tomcat.fichier de magasin de clés puis importer ces fichiers de certificat AFIN dans votre tomcat.fichier de magasin de clés (à partir de zéro) dans le même ordre que l'exemple suivant:

    keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file gdig2.crt.pem
keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file gd_bundle-g2-g1.crt
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file namewithnumbersandletters.crt

    Assurez-vous que vous avez mis à jour votre server.xml redémarrez votre serveur Tomcat 

    <Connector port="8080" protocol="HTTP/1.1"
            connectionTimeout="20000"
            redirectPort="443" />  
    <Connector 
    URIEncoding="UTF-8"
    SSLEnabled="true" 
    clientAuth="false"
    keystoreFile="C:\Program Files\Java\jdk1.8.0_181\bin\tomcat.keystore" 
    keystorePass="changeme" 
    maxThreads="200" 
    port="443" 
    scheme="https" 
    secure="true" 
    sslProtocol="TLS" />

    Voilà! L'icône de verrouillage (Connexion Sécurisée) apparaît lors de la navigation sur le domaine.

    InformationsquelleAutor QA Specialist
  6. 0

    Cela a fonctionné pour moi:

    keytool -keystore yourkeystorename -importcert -alias certificatealiasname -file certificatename.cer
    • Avant de poster une réponse à un déjà répondu à des questions s'il vous plaît assurez-vous que vous ajoutez quelque chose de nouveau. Ensuite expliquer pourquoi votre suggestion travaillé pour vous (c'est ce que stackoverflow est pour).
    InformationsquelleAutor guest98