Yeni SSL sertifikası içe aktarılırken "Sertifika yanıtı ortak anahtar içermiyor" veya "Yanıttaki ve anahtar deposundaki genel anahtarlar eşleşmiyor" keytool hatası
Summary: Anahtar deposunda (kök ve alt CA'lar) güvenilir tam zincir sertifikaları eksikse veya sertifika son CSR'den imzalanmamışsa Keytool, yeni bir SSL sertifikası içe aktarılırken "Sertifika yanıtı ortak anahtar içermiyor" veya "Yanıttaki genel anahtarlar ve anahtar deposu eşleşmiyor" hatasını verir. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
# keytool -importcert -alias my-alias -keystore my-keystore.jks -trustcacerts -file my-signed-cert.pem
keytool kullanarak bir sertifikayı içe aktarmak aşağıdaki hatalardan birini üretir:
keytool error: java.lang.Exception: Certificate reply does not contain public key for my-alias
keytool error: java.lang.Exception: Public keys in reply and keystore don't matchCause
Bu hataların birden çok nedeni olabilir, ancak çoğunlukla aşağıdakilerle ilgilidir:
- Yanlış anahtar deposu dosyası kullanma
- Harici olarak imzalanmış sertifika için, eksik tam zincir güvenilir sertifikaları (kök ve alt CA'lar)
- sertifika, son oluşturulan imzalama isteğinden (CSR) imzalanmadı
Resolution
Modülü kontrol ederek imzalı sertifikanın, CSR'nin doğru anahtar deposundan (özel anahtar) geldiğinden emin olun (değerler aynı olmalıdır):
# openssl pkcs12 -in my-keystore.jks -nodes -nocerts | openssl rsa -modulus -noout | openssl sha256
...
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d
# openssl req -noout -modulus -in certreq.txt | openssl sha256
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d
# openssl x509 -noout -modulus -in signed-cert.pem | openssl sha256
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d
Anahtar deposunda Kök CA ve alt sertifikaların bulunduğundan emin olun:
# keytool -list -keystore my-keystore.jks
Your keystore contains 3 entries
my-alias, Sep 28, 2022, PrivateKeyEntry, ...
rootCA, Sep 28, 2022, trustedCertEntry, ...
intermediateCA, Sep 28, 2022, trustedCertEntry, ...
Harici olarak imzalanmış sertifikayı içe aktarmak için temel adımlar şunlardır:
1/ Ayrı bir anahtar deposu dosyasında özel bir anahtar oluşturun:
# keytool -genkey -alias my-alias -keyalg RSA -keystore my-keystore.jks -storetype pkcs122/ Bir imzalama isteği oluşturun:
# keytool -certreq -keyalg RSA -alias my-alias -file my-sign-request.csr -keystore my-keystore.jks3/ CSR'yi harici CA'ya imzalatın.
Ayrıca güvenilecek tüm sertifikalara da ihtiyacınız olacaktır: kök ve alt CA'lar. Ayrı dosyalarda olmalıdır (PEM biçimi kullanılarak).
4/ Güvenilir kök CA sertifikasını içe aktarın:
# keytool -import -alias rootCA -keystore my-keystore.jks -trustcacerts -file root-CA.pem5/ Ara sertifikaları içe aktarın:
# keytool -import -alias intermediateCA -keystore my-keystore.jks -trustcacerts -file intermediate-CA.pem
(benzersiz diğer ad kullanarak imzalama zincirindeki tüm alt CA'lar için tekrarlayın)
6/ İmzalı sertifikayı içe aktarın (CSR'de kullanılanla aynı takma adı kullanarak):
6/ İmzalı sertifikayı içe aktarın (CSR'de kullanılanla aynı takma adı kullanarak):
# keytool -import -alias my-alias -keystore my-keystore.jks -trustcacerts -file my-signed-cert.pemBu KB, Java keytool yardımcı programı kullanılarak harici olarak imzalanmış SSL sertifikasına sahip bir anahtar deposunun nasıl düzgün şekilde oluşturulacağına odaklanmıştır.
PowerFlex uygulama ayrıntıları için lütfen belgelere bakın:
- Güvenlik Yapılandırma rehberi: PowerFlex Ağ Geçidi
için sertifika yönetimi- PowerFlex'i Özelleştirme ve Yapılandırma: Güvenlik
Affected Products
PowerFlex rack, PowerFlex Appliance, PowerFlex custom node, ScaleIO, PowerFlex SoftwareArticle Properties
Article Number: 000206194
Article Type: Solution
Last Modified: 11 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.