Sto tentando di impostare un portachiavi su Apache Tomcat che contenga un certificato del server firmato da un certificato CA root personalizzato. (non sono sicuro se l'abitudine sia la parola giusta qui, ma è un certificato di base che ho creato io stesso e di cui mi voglio fidare). L'idea alla base di questo è che tutti i certificati firmati da questa CA dovrebbero essere considerati attendibili.
Ecco i passaggi che ho fatto
Crea il certificato radice (che mi fido del mio portachiavi)
openssl req -new -x509 -sha512 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 365 -config ./openssl.cnf
Crea una chiave del server e una richiesta di firma del certificato
openssl req -new -nodes -sha512 -out name-req.pem -keyout private/name-key.pem -days 365 -config ./openssl.cnf
Firma la richiesta con la CA creata nel passaggio 1 e genera un certificato
openssl ca -out name-cert.pem -days 365 -config ./openssl.cnf -infiles name-req.pem
Crea il file PKCS12
openssl pkcs12 -sha512 -export -in name-cert.pem -inkey private/name-key.pem -certfile cacert.pem -name "[friendly name]" -out name-cert.p12
Imposta un keystore PKCS12 per Tomcat
openssl pkcs12 -export -in name-cert.pem -inkey private/name-key.pem -out mycert.p12 -name tomcat -CAfile cacert.pem -caname root -chain
Ho installato il keystore in tomcat correttamente e posso accedere al connettore HTTPS
Ho installato il certificato CA nel mio portachiavi dove è contrassegnato come attendibile per tutti gli utenti.
Tuttavia,quandoaccedoallapaginautilizzandounbrowser(Firefox/Safari),lovedoancora:
Perché questo certificato (emesso da "CA" e "CA" è un certificato contrassegnato come attendibile per tutti gli utenti) genera ancora un errore?