David.Turing's blog

Tomcat(直至5.5.9版本)不支持KeyStore和KeyEntry使用不同的password

今天，有朋友在配置Tomcat SSL的时候，出现如下的异常：
java.security.UnrecoverableKeyException: Cannot recover key
而且他已经正确配置了keystoreFile和keystorePass。
后来我发现，他对Keystore中的Key使用了Password保护，而且
保护这个KeyEntry的KeyPass!=KeyStore的Keypass，导致出错，
Tomcat SSL要求这两个密码必须相等。
解决办法：
keytool -keypasswd -v -alias mykeyalias -keypass noequalpass -new equalpass -keystore mykeystore.jks -storepass equalpass
其中， mykeyalias是key在keystore中的别名，-keypass后面跟key的旧密码"noequalpass", -new 是新密码"equalpass",注意新密码跟storepass一致。

附：Weblogic是支持不一致的KeystorePass和KeyPass的。

posted on 2006-04-02 12:00 david.turing 阅读(1597) 评论(0) 编辑收藏所属分类: Security领域

新用户注册刷新评论列表


只有注册用户登录后才能发表评论。




网站导航: 博客园 IT新闻知识库 C++博客博问管理
相关文章: 关于配置Weblogic的NodeManager服务 [原创] Pass SSL Certificate to Weblogic Cluster through Apache Proxy under SSL [原创]Apache Proxy with Weblogic Cluster under SSL 发布一个简易版本的SecureXRCP [原创]国内大部分的USBKey通过B/S方式（CAPICOM）产生数字签名的严重安全漏洞 SecureX Eclipse Plugin Alpha2发布发布SecureX Eclipse Plugin 2.0.0 alpha版本 [转载]推荐一下CSDN《程序员》的《开源大本营》 Yale CAS as an Acegi Client in SpringSide [原创] SSO(Single Sign-on) in Action(上篇)

导航

统计

随笔 - 163
文章 - 19
评论 - 715
引用 - 0

常用链接

留言簿(110)

我参与的团队

架构师之家(0/0)

随笔分类(126)

随笔档案(155)

文章分类(9)

文章档案(19)

相册

dev2dev

搜索

积分与排名

积分 - 869257
排名 - 43

最新随笔

最新评论

1. re: Ktpass和KTab的主要用法[未登录]
我想请教一下，怎么查看keytab文件中的key啊。
--Alex
2. re: [原创] SSO(Single Sign-on) in Action(上篇)[未登录]
@田野
同求啊，最近在做毕业设计，也遇到了再cas3中支持saml的问题，请问如何解决啊
--燕子
3. re: javax.security.auth.login.LoginException:没有为 XXX 配置LoginModules [未登录]
更改了java.security里的login.config.url还是不对，路径没错啊，有大神来没
--Alex
4. re: Apache License更适合中国人
评论内容较长,点击标题查看
--Hanbin
5. re: Apache License更适合中国人
评论内容较长,点击标题查看
--swordfeng
6. re: Apache License更适合中国人
而且我很奇怪, Eclipse的插件不是都普遍使用EPL-1.0的license么?
--Snoopy
7. re: Apache License更适合中国人
评论内容较长,点击标题查看
--Snoopy
8. re: 读取操作PDF的Java类库
整理一些实例更好了。
--呜啦啦
9. re: Apache License更适合中国人
不明白为什么回复都是一片骂声，难度你们修改过GPL的软件都开源了吗？难道你们的windows是正版的？难度你们的VS也是正版的？
--程序猿
10. re: 解释CAS Logout问题[未登录]
明显说得不对。logout的时候，cas server会向webapp发送请求注销的，我的日志里两边都能看到，只是报错了，还是能继续访问。
--王
11. 49 48 44 52
了解
--00 00 00 CE 00 00 00 CE 08 02 00 00 00
12. re: [原创]国内大部分的USBKey通过B/S方式（CAPICOM）产生数字签名的严重安全漏洞
这个问题对一代USBKey确实有这个问题，但是二代所见即所签就没有这个问题了
--一气哈成
13. re: 将Spring用于高并发环境的隐忧[未登录]
@flyisland
我也混乱了，ff29.
--南云
14. re: [原创] SSO(Single Sign-on) in Action(上篇)[未登录]
这个文章很好，下篇有没
--bin
15. re: 编写一个类似KeyStore Explorer的Eclipse插件[未登录]
1无图，2无下载，你说个屁！
--xiaozhu
16. re: 解释CAS Logout问题[未登录]
整篇都是在瞎扯，还自己发明了理论。。。。logout 不是退出系统无语了。。
--test
17. 客户端信任所有证书或是服务器端添加证书两种方式解决
评论内容较长,点击标题查看
--Trinea
18. re: 0Day发布Confluence 2.1.4 破解，所见即所得的编辑界面终于亮相
师兄，求密码，谢谢你百忙之中抽空来回复我！祝你工作顺利！
beichen2210@126.com
--beichen
19. re: 0Day发布Confluence 2.1.4 破解，所见即所得的编辑界面终于亮相
clancy_js@163.com
兄台求密码
--游客
20. re: 解释CAS Logout问题
评论内容较长,点击标题查看
--liveandevil
21. re: 已经申请了Google Hosted Mail[未登录]
给我一个邀请谢谢了 magicbaby810@gmail.com
--SK
22. re: 0Day FTP服务器帐号密码
看得懂的就是够资格了，看不懂就不要强求了。信息是经过加密的，对加密有所了解的都能轻易解开。

就是不知道2年前的信息，现在改了没有
--刷刷刷
23. re: Yale CAS异常问题总结(1)Unable to validate ProxyTicketValidator之HTTPS hostname wrong: should be.....[未登录]
评论内容较长,点击标题查看
--cx
24. re: Programmer援助交际群证书发布
找个好女人做朋友
--程斌
25. re: Apache License更适合中国人
实在不能理解为何您使用原作者的代码还强硬的想要违背原作者的意愿和GPL，然后还说出宣战这种话，好似取得巨大胜利一般，无法理解！不管是对作者，对法律，对协议，连起码的尊重都没有！
--一只程序猿
26. re: Apache License更适合中国人
@ds
同意。这么丢人的事居然还拿出来大书特书，好像自己抗战胜利似得。

还说“他已经对开源没兴趣。。。”，明明是自己不遵守开源协议，这人也有意思，居然还耐着性子回了那么多邮件
--dirtyacc@126.com
27. re: Certificate chain received from 客户端- 192.168.10.10 was not trusted causing SSL handshake failure
jjjjj
--11
28. re: Yale CAS异常问题总结(1)Unable to validate ProxyTicketValidator之HTTPS hostname wrong: should be.....[未登录]
我的也是啊，用ip生成的cn，也是用ip访问，还是报这个错误啊
--小猪
29. re: 发现GDCA USBKey(电子钥匙)的CSP数字签名实现存在缺陷
这个不是缺陷..出于安全考虑设计的
--summit
30. re: [原创]国内大部分的USBKey通过B/S方式（CAPICOM）产生数字签名的严重安全漏洞
评论内容较长,点击标题查看
--ca
31. re: 解释CAS Logout问题
评论内容较长,点击标题查看
--say_hello
32. re: [原创]实施WebService Security[WS-Security1.0]的Encrypt和Sign模式(XFire+WSS4J)
评论内容较长,点击标题查看
--xuezhishou
33. re: [原创] SSO(Single Sign-on) in Action(上篇)[未登录]
看不出CAS和SAML的差别

你画的那个SAML再加一个服务实际上整个流程就是CAS了

Ticket和断言除了叫法不一样之外有什么差别?
--ddd
34. re: 微软开始使用Google广告了[未登录]
test
--me
35. re: Apache License更适合中国人[未登录]
丢人。
--ds
36. re: Unexpected Signal : EXCEPTION_ACCESS_VIOLATION
# An error report file with more information is saved as hs_err_pid1964.log
--replica watch
37. re: Apache License更适合中国人[未登录]
坦白地说是不是样板戏看多了，不要选择斗争，没有好处的。
你既然是用他的代码就该遵守授权，这是天经地义的。

我个人不看盗版碟片、不用盗版软件：包括操作系统是自己购买的。
--maple
38. re: [原创] SSO(Single Sign-on) in Action(上篇)
评论内容较长,点击标题查看
--Jacklondon Chen
39. re: 关于JVM的Thin Lock, Fat Lock, SPIN Lock与Tasuki Lock
达人呀。研究的很深呀。
--游客
40. re: [原创] SSO(Single Sign-on) in Action(上篇)
评论内容较长,点击标题查看
--jacklondon chen

阅读排行榜

评论排行榜