java - 如何解决:jno_key_entry
问题描述
我有以下由 Sectigo 生成的文件:
- XXX1.pem
- XXX1.key
- XXX1.csr
- XXX1.crt
- XXX1.ca
我在 Windows 上使用 Zulu JDK 11.0.8 和 SpringBoot 2.2.0。我想要做的是在 SpringBoot 应用程序中启用 https。
这是 SpringBoot 属性文件中的 ssl 属性:
server.ssl.key-store-type=JKS
server.ssl.key-store=XX1.jks
server.ssl.key-store-password=password
server.ssl.key-alias=tomcat
我使用以下命令生成了一个密钥库:
keytool -import -alias tomcat -file XXX1.crt -keystore XX1.jks -storepass password
运行应用程序时,我收到以下错误消息:
Caused by: org.apache.catalina.LifecycleException: Protocol handler start failed
at org.apache.catalina.connector.Connector.startInternal(Connector.java:1008) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:183) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.catalina.core.StandardService.addConnector(StandardService.java:227) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
... 17 common frames omitted
Caused by: java.lang.IllegalArgumentException: jsse.alias_no_key_entry
at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:99) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.tomcat.util.net.AbstractJsseEndpoint.initialiseSsl(AbstractJsseEndpoint.java:71) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.tomcat.util.net.NioEndpoint.bind(NioEndpoint.java:218) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.tomcat.util.net.AbstractEndpoint.bindWithCleanup(AbstractEndpoint.java:1124) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.tomcat.util.net.AbstractEndpoint.start(AbstractEndpoint.java:1210) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.coyote.AbstractProtocol.start(AbstractProtocol.java:586) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.catalina.connector.Connector.startInternal(Connector.java:1005) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
... 19 common frames omitted
Caused by: java.io.IOException: jsse.alias_no_key_entry
at org.apache.tomcat.util.net.SSLUtilBase.getKeyManagers(SSLUtilBase.java:328) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.tomcat.util.net.SSLUtilBase.createSSLContext(SSLUtilBase.java:247) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:97) ~[tomcat-embed-core-9.0.27.jar:9.0.27]
... 25 common frames omitted
知道我做错了什么吗?
谢谢
解决方案
TLDR:你需要私钥
尽管我们经常松散地谈论具有或使用“证书”的 SSL/TLS 服务器,但实际上它不仅需要证书,还需要相关的私钥(总是)和任何相关的中间,即“链”CA 证书(通常,但可能取决于 CA 和/或客户端)。keytool -import
是-importcert
仅导入证书或链的别名;这要么将证书/链添加到预先存在的privateKeyEntry,要么创建trustedCertEntry。在您的情况下,您的密钥库尚未包含私钥,因此 keytool 创建了一个trustedCertEntry,这就是为什么Tomcat 抱怨配置的别名是“no_key_entry”——即它是一个trustedCertEntry,它不充分、不可用和错误,而不是privateKeyEntry 是需要和必需的。
搜索“将 PEM 转换为 Java 密钥库”或“将 PEM 转换为 JKS”(也可能“将 PEM 转换为 PKCS12”),您会发现在过去十年中提出的数百个问题,其中两个真实答案的变体差不多:
如果您拥有或获得 OpenSSL,请使用
openssl pkcs12 -export
将证书、私钥和链 (CA) PEM 格式文件组合成 PKCS12 格式文件。现代 Java(自 2017 年以来)始终可以直接使用 PKCS12 作为密钥库;旧版本有时可以做到这一点,但有时需要您使用keytool -importkeystore
(not-import[cert]
) 将 PKCS12 转换为 JKS,旧的答案反映了以前的要求。如有必要,您可以将 PEM 格式文件移动或复制到另一台足够安全且具有 OpenSSL 的计算机上,然后将 PKCS12 移动或复制回去。OpenSSL 是几乎所有 Linux 和许多其他 Unix 的标准,但 Windows 不是。你可以从几个我认为http://slproweb.com/products/Win32OpenSSL.html维护得最好的来源获得它。
下载并使用KeyStore Explorer。
推荐阅读
- if-statement - Applescript if class else
- javascript - 使用 .split() 和 .join() 通过字典替换字符
- lisp - Lisp中`do`和`do*`之间的区别?
- json - 来自 csv 文件的 JSON 格式的 Golang POST 请求
- java - 尝试进行构造函数链接时,我不断收到“错误:找不到符号”
- c++ - UE4 创建一个新的 c++ 游戏模式类
- android - 如何在片段 android Studio 中检索联系人列表?问题出在哪里
- python-3.x - 所以我想构建一个函数,它返回一个带有大写字符串的列表
- c# - Azure 云服务 Web 角色未启动 - 未处理的异常 - 找不到程序集
- c - 我有一个名称相似的结构变量,如何在 c 中打印出来