il protocollo TLS prevede la presentazione da parte del server di un
certificato contenente:
* il certificato del server firmato da una CA
* la catena dei certificati delle CA che hanno firmato il certificato
precedente, fino ad arrivare ad una Root CA, che può essere omessa.
Questo per permettere ai client di verificare il certificato a partire
da quello delle Root CA.
Nelle vecchie (<2.4.8) il certificato del server e la catena delle CA
dovevano risiedere su 2 file separati, che venivano poi assemblati dal
server per essere presentati ai client, e così pure molti altri server
con TLS.
Dalla versione 2.4.8 in poi viene consigliato di usare un unico file
contenente sia il certificato che la catena, così come verrebbe
presentato al client.
Ora non conosco Tomcat, ma presumo che ricada nel caso di un server TLS
che richiede certificato e catena separati.
--
Mandi.
Paolo
