Некоторым приложениям (я не могу вспомнить, является ли Tomcat одним из них) хотелось бы, чтобы цепочка сертификатов была частью той же записи хранилища ключей, что и сертификат вашего сервера, а не отдельными элементами.
Для этого сначала удалите два сертификата CA из хранилища ключей:
keytool -delete -alias Primary -keystore keystore.key
keytool -delete -alias Secondary -keystore keystore.key
Затем создайте файл PKCS # 7, содержащий ваш сертификат с его цепочкой CA:
openssl crl2pkcs7 -nocrl -certfile domain.crt -certfile Secondary.crt \
-certfile Primary.crt -out domain.p7b
Затем импортируйте его в существующее хранилище ключей (это приведет к перезаписи сертификат, но сохраните существующий закрытый ключ):
keytool -importcert -alias domain -file domain.p7b -keystore keystore.key
Убедитесь, что указанный вами псевдоним совпадает с псевдонимом сертификата / ключа, уже находящегося в хранилище ключей.
Теперь список хранилищ ключей ( keytool -list -keystore keystore .key
) должен отображать сертификат с его цепочкой CA как единую запись в хранилище ключей.