SSL сертификаты: Сервер не смотрит в файл wss.jks

[alexey]

Добрый день!
задача: Требуется обновлять сертификаты letsencrypt и автоматически генерировать wss.jks
используем скрипт acme.sh https://github.com/acmesh-official/acme.sh
используем инструкцию по keytool и выпуску сертификатов https://docs.flashphoner.com/pages/viewpage.action?pageId=1049363 https://docs.flashphoner.com/display/WCS52RU/Websocket+SSL

результат
1. генерация и выпуск сертификата проходит нормально, по скрипту ниже. Сертификат в итоге рабочий, проверялся на nginx.

  ${HOME}/.acme.sh/acme.sh --debug --issue --dns dns_cf \
    -d <domain> \
    --fullchain-file /usr/local/FlashphonerWebCallServer/conf/ssl-cert.pem \
    --key-file /usr/local/FlashphonerWebCallServer/conf/ssl-key.pem \
    --ca-file /usr/local/FlashphonerWebCallServer/conf/ca.cer \
    --reloadcmd /root/service/update-fp-cert --dnssleep 20 \

2. после генерации выполняется скрипт для создания wss.jks

cd /usr/local/FlashphonerWebCallServer/conf
keytool -delete -alias ssl-cert -storepass password -keystore wss.jks

openssl pkcs12 -export -out ssl-cert.p12 -inkey ssl-key.pem -in ssl-cert.pem -name ssl-cert \
  -password 'pass:password' -passout 'pass:password'

keytool -importkeystore -srckeystore ssl-cert.p12 -srcstoretype pkcs12 \
  -srcstorepass 'password' -srckeypass 'password' \
  -destkeystore wss.jks -deststorepass 'password' -deststoretype pkcs12 \
  -srcalias ssl-cert -destalias ssl-cert

systemctl restart webcallserver
rm -rf ssl-cert.p12

В результате создаётся хранилище, и перезапускается сервер.
Идём проверять https://<domain>:8443, видимо самоподписной сертификат, а не то что только что сгенерировали

Проверяем хранилище и фингерпринт сертификата

openssl x509 -in /usr/local/FlashphonerWebCallServer/conf/ssl-cert.pem -noout -fingerprint -sha256

keytool -list -keystore /usr/local/FlashphonerWebCallServer/conf/wss.jks

Видим в хранилище один сертификат и этот сертификат совпадает с тем что был сгенерирован
В результате сертификат не получается обновить, обновлять сертификат через web интерфейс не пробовал, т.к. постоянно в ручную обновлять нет возможности, нужна автоматиация.
Что может быть не так, где искать ошибку?

 

[Max]

Добрый день.

Чтобы быстро разобраться, нам потребуется доступ к серверу, файлы SSL сертификатов и приватный ключ. Можно отправить с помощью этой приватной формы. Чтобы не мучаться с сертификатами, предлагаем также рассмотреть приобретение платного wildcard - сертификата на 1-2-3 года. Например здесь: namecheap.com/security/ssl-certificates или у любого другого провайдера.

 

[Max]

Если проблемы с автоматическим обновлением, также просьба прислать файлы сертификатов и приватный ключ, мы пройдем тем же путем и проверим как они импортируются.

 

[Max]

Предлагаем также проверить, обновится ли сертификат по пошаговой процедуре, описанной здесь. Например, самоподписанный сертификат, поставляемый с сервером, находится в хранилище по умолчанию под алиасом selfsigned, и этот алиас следует удалить из хранилища перед импортом туда сгенерированного сертификата

keytool -delete -alias selfsigned -keystore /usr/local/FlashphonerWebCallServer/conf/wss.jks

Другие команды в Вашем скрипте также отличаются от рекомендованных.
Если обновление вручную командами по документации будет успешным, рекомендуем привести Ваш скрипт в соответствие с ними.

 

[Max]

Мы успешно импортировали присланные Вами сертификаты на тестовом сервере следующей последовательностью команд, в соответствии с документацией

keytool -delete -alias selfsigned -keystore /usr/local/FlashphonerWebCallServer/conf/wss.jks
openssl pkcs12 -export -out ssl-cert.p12 -inkey ssl-key.pem -in ssl-cert.pem -certfile ca.cer -name ssl-cert
keytool -importkeystore -srckeystore ssl-cert.p12 -srcstoretype PKCS12 -destkeystore /usr/local/FlashphonerWebCallServer/conf/wss.jks
systemctl restart webcallserver

После этого на странице сертификатов https://:8444/admin/certificates.html отображается Ваш сертификат

Браузер также отображает Ваш сертификат

Рекомендуем привести Ваш скрипт в соответствие с командами, рекомендованными в документации.

 

[alexey]

Спасибо, помогло.