Nøgleværktøjsfejl "Certifikatsvar indeholder ikke offentlig nøgle" eller "Offentlige nøgler i svar og nøglelager stemmer ikke overens" ved import af nyt SSL-certifikat

Summary: Keytool vil oprette fejlen "Certifikatsvar indeholder ikke offentlig nøgle" eller "Offentlige nøgler i svar og nøglelager stemmer ikke overens", når du importerer et nyt SSL-certifikat, hvis der mangler pålidelige fuldkædecertifikater i keystore (rod- og underordnede CA'er), eller certifikatet ikke er signeret fra sidste CSR. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

# keytool -importcert -alias my-alias -keystore my-keystore.jks -trustcacerts -file my-signed-cert.pem

Import af et certifikat ved hjælp af keytool giver en af følgende fejl: 
keytool error: java.lang.Exception: Certificate reply does not contain public key for my-alias
keytool error: java.lang.Exception: Public keys in reply and keystore don't match

Cause

Disse fejl kan have flere årsager, men de vil for det meste være relateret til:
  • Brug af en forkert KeyStore-fil
  • for eksternt signerede certifikater, manglende certifikater med fuld kædetillid (rodnøglecentre og eventuelle underordnede nøglecentre)
  • certifikatet er ikke blevet underskrevet fra den senest genererede signeringsanmodning (CSR)

Resolution

Sørg for, at signeret certifikat, CSR er fra det korrekte nøglelager (privat nøgle) ved at kontrollere modulus (værdierne skal være identiske):

# openssl pkcs12 -in my-keystore.jks -nodes -nocerts | openssl rsa -modulus -noout | openssl sha256
...
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d

# openssl req -noout -modulus -in certreq.txt | openssl sha256
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d

# openssl x509 -noout -modulus -in signed-cert.pem | openssl sha256
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d

Sørg for, at rodnøglecenteret og underordnede certifikater findes i nøglelageret: 
# keytool -list -keystore my-keystore.jks

Your keystore contains 3 entries
my-alias, Sep 28, 2022, PrivateKeyEntry, ...
rootCA, Sep 28, 2022, trustedCertEntry, ...
intermediateCA, Sep 28, 2022, trustedCertEntry, ...

For at importere eksternt signeret certifikat er de vigtigste trin:

1/ Generer en privat nøgle i en separat keystore-fil: 
# keytool -genkey -alias my-alias -keyalg RSA -keystore my-keystore.jks -storetype pkcs12

2/ Opret en underskrivelsesanmodning: 
# keytool -certreq -keyalg RSA -alias my-alias -file my-sign-request.csr -keystore my-keystore.jks

3/ Få CSR'en underskrevet af den eksterne CA. 
Du skal også bruge alle certifikater for at stole på: root & underordnede CA (er). Skal være i separate filer (ved hjælp af PEM-format).

4/ Importer det pålidelige CA-rodcertifikat: 
# keytool -import -alias rootCA -keystore my-keystore.jks -trustcacerts -file root-CA.pem

5/ Importer de mellemliggende certifikater: 
# keytool -import -alias intermediateCA -keystore my-keystore.jks -trustcacerts -file intermediate-CA.pem
(gentag for alle underordnede nøglecentre i signeringskæden ved hjælp af entydigt aliasnavn)

6/ Importer det underskrevne certifikat (med samme alias som brugt i CSR): 
# keytool -import -alias my-alias -keystore my-keystore.jks -trustcacerts -file my-signed-cert.pem

Denne KB er fokuseret på, hvordan man korrekt opbygger et nøglelager med eksternt signeret SSL-certifikat ved hjælp af Java keytool-værktøjet.
Se dokumentationen for PowerFlex-implementeringsoplysninger:
Sikkerhedskonfigurationsvejledning: Administration af certifikater for PowerFlex Gateway
- Tilpas og konfigurer PowerFlex: Sikkerhed
 

Affected Products

PowerFlex rack, PowerFlex Appliance, PowerFlex custom node, ScaleIO, PowerFlex Software
Article Properties
Article Number: 000206194
Article Type: Solution
Last Modified: 11 Apr 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.