秘密鍵をアップロードできない: does not certify the public key
Article ID: 276826
Updated On:
Products
CA API Gateway
Issue/Introduction
Gateway 10.0 では、同じキーを別の名前と有効期限でアップロード/更新できました。Gateway 10.1 では同じ手順を実行できません。
SSG エラー:
2022-01-25T20:27:26.352-0800 WARNING 1714 com.l7tech.server.security.keystore.ReplaceCertificateChainManager: New certificate does not certify the public key for the private key CN=<certificate name>
2022-01-25T20:27:26.352-0800 WARNING 1714 com.l7tech.server.security.keystore.JdkKeyStoreBackedSsgKeyStore: Failed to get the impacted certificate chains: New certificate does not certify the public key for the private key CN=<certificate name>
com.l7tech.server.security.keystore.ReplaceCertificateChainManager$ReplaceCertificateChainException: New certificate does not certify the public key for the private key CN=<certificate name>
Environment
API Gateway 10.1
Cause
Gateway の JDK 実装 "PKCS12KeyStore" に依存しています。
KeyStore.store()呼び出し中に、最初に秘密鍵データが書き込まれ、次にこれらの秘密鍵に関連付けられた証明書チェーンが書き込まれます。KeyStore.load()呼び出し中に、SubjectDN と IssuerDN の値に基づいて証明書チェーンが再作成されます。中間の二つの SubjectDN 値が同じであるため、両方の秘密鍵は実際には異なっていてもキーの同じチェーンを示します。
Resolution
これは既知の問題です(Known Issues: DE464166, DE337781)。
この問題に対処するため、バージョン 10.1 CR03 で以下の新機能が導入されました。同バージョンを適用してください。
同じ SubjectDN を持つ複数の秘密鍵を有効にする:
クラスター全体のプロパティ keystore.allowDuplicatesBySubjectDN を利用して、Gatewayは同じ SubjectDN を持つ秘密鍵をサポートします。このプロパティは、同じ SubjectDN の秘密鍵を有効または無効にするオプションを提供します。詳細については、"Enable Multiple Private Keys with Same Subject DN" を参照してください。
以下はクラスター全体のプロパティを設定する手順です。
- Policy Manager のトップバーから [Tasks] -> [Global Settings] -> [Manage Cluster Wide Properties] を選択します。
- クラスター全体のプロパティダイアログで "Add" をクリックします。
- キーを入力します: keystore.allowDuplicatesBySubjectDN
- キーボードの Tab ボタンを押します。上書きできるデフォルト値と説明が表示されます。次に、値を True に設定できます。
Additional Information
Feedback
Yes
No
Powered by
