过去一年,我为 Tomcat Web 应用程序安装了 SSL 证书,运行良好。由于证书即将过期,我需要更换它。我通过常规渠道,生成了新的 CRT,并从 GoDaddy(证书提供商)获得了替换证书。
然后,我使用我的证书以及 GoDaddy 提供的根证书、交叉证书和中间证书创建了一个新的密钥库。我注意到,当密钥库完成后,4 个条目中有 3 个与实时网站上现有的工作密钥库相同(尽管交叉证书和中间证书的列出顺序是相反的;这有关系吗?)。一个不同的条目是我自己的新证书——这是有道理的。这一切都非常令人鼓舞。
尽管如此,当我在 webapp 的网站上安装新的密钥库时,当我尝试访问我的网站时,浏览器会发出“不受信任的证书”警告。当我致电 GoDaddy 技术支持时,客服人员说这是因为我在同一个网站上有两个未完成的证书,并且旧证书下周到期时警告就会消失。我对这个理论非常怀疑,如果它是错误的,那么我将在第二天早上没有一个正常运行的证书,也不知道如何修复它。
不受信任的证书警告背后的真正原因是什么?
答案1
问题最终在于,当我在生成密钥时输入可分辨名称信息的域名时,我使用了星号,例如:*.myserver.com,以为这将涵盖 myserver.com、www.myserver.com 等。然而,星号仅适用于“通配符”证书,而我显然没有这样的证书。
因此,我仅使用“myserver.com”重新生成了密钥,并且一切正常。出于某种原因,它仍然适用于“myserver.com”和“www.myserver.com”。
顺便说一句,这个网站对我诊断这个问题非常有帮助: