Chyba nástroje Keytool "Odpověď certifikátu neobsahuje veřejný klíč" nebo "Veřejné klíče v odpovědi a úložišti klíčů se neshodují" při importu nového certifikátu SSL
Summary: Keytool při importu nového certifikátu SSL vyvolá chybu "Odpověď certifikátu neobsahuje veřejný klíč" nebo "Veřejné klíče v odpovědi a úložišti klíčů se neshodují", pokud v úložišti klíčů chybí důvěryhodné certifikáty celého řetězce (kořenové a podřízené certifikační autority) nebo certifikát není podepsán z posledního CSR. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
# keytool -importcert -alias my-alias -keystore my-keystore.jks -trustcacerts -file my-signed-cert.pem
Při importu certifikátu pomocí nástroje keytool dojde k jedné z následujících chyb:
keytool error: java.lang.Exception: Certificate reply does not contain public key for my-alias
keytool error: java.lang.Exception: Public keys in reply and keystore don't matchCause
Tyto chyby mohou mít více příčin, ale většinou by souvisely s:
- Použití nesprávného souboru úložiště klíčů
- u externě podepsaného certifikátu chybějící důvěryhodné certifikáty celého řetězce (kořenové a všechny podřízené certifikační autority).
- Certifikát nebyl podepsán z poslední vygenerované žádosti o podepsání (CSR).
Resolution
Zkontrolujte, zda podepsaný certifikát a CSR pocházejí ze správného úložiště klíčů (soukromý klíč), a to kontrolou modulu (hodnoty musí být shodné):
# openssl pkcs12 -in my-keystore.jks -nodes -nocerts | openssl rsa -modulus -noout | openssl sha256
...
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d
# openssl req -noout -modulus -in certreq.txt | openssl sha256
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d
# openssl x509 -noout -modulus -in signed-cert.pem | openssl sha256
(stdin)= c46656d2c830cddba552198aa186ba4b13b0623d10d08768442fef28b9a4be4d
Ujistěte se, že v úložišti klíčů existují kořenová certifikační autorita a podřízené certifikáty:
# keytool -list -keystore my-keystore.jks
Your keystore contains 3 entries
my-alias, Sep 28, 2022, PrivateKeyEntry, ...
rootCA, Sep 28, 2022, trustedCertEntry, ...
intermediateCA, Sep 28, 2022, trustedCertEntry, ...
Při importu externě podepsaného certifikátu postupujte takto:
1/ Vygenerujte soukromý klíč v samostatném souboru úložiště klíčů:
# keytool -genkey -alias my-alias -keyalg RSA -keystore my-keystore.jks -storetype pkcs122/ Vytvořte žádost o podepsání:
# keytool -certreq -keyalg RSA -alias my-alias -file my-sign-request.csr -keystore my-keystore.jks3/ Nechte si CSR podepsat externí certifikační autoritou.
Budete také potřebovat všechny certifikáty, kterým můžete důvěřovat: kořenovým certifikačním autoritám a podřízeným certifikačním autoritám. Musí být v samostatných souborech (ve formátu PEM).
4/ Import důvěryhodného kořenového certifikátu CA:
# keytool -import -alias rootCA -keystore my-keystore.jks -trustcacerts -file root-CA.pem5/ Import zprostředkujících certifikátů:
# keytool -import -alias intermediateCA -keystore my-keystore.jks -trustcacerts -file intermediate-CA.pem
(opakujte postup pro všechny podřízené certifikační autority v řetězci podepisování s použitím jedinečného názvu aliasu)
6/ Importujte podepsaný certifikát (se stejným aliasem, jaký se používá v CSR):
6/ Importujte podepsaný certifikát (se stejným aliasem, jaký se používá v CSR):
# keytool -import -alias my-alias -keystore my-keystore.jks -trustcacerts -file my-signed-cert.pemTento článek znalostní databáze se zaměřuje na to, jak správně vytvořit úložiště klíčů s externě podepsaným certifikátem SSL pomocí nástroje Java keytool.
Podrobnosti o implementaci systému PowerFlex naleznete v dokumentaci:
- Průvodce konfigurací zabezpečení: Správa certifikátu pro bránu
PowerFlex- Přizpůsobení a konfigurace řešení PowerFlex: Zabezpečení
Affected Products
PowerFlex rack, PowerFlex Appliance, PowerFlex custom node, ScaleIO, PowerFlex SoftwareArticle Properties
Article Number: 000206194
Article Type: Solution
Last Modified: 11 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.