问题 将CA签名的JKS密钥库转换为PEM


我有一个由CA签名的JKS密钥库。我需要以PEM格式导出它以便与nginx一起使用。我需要这样做,它包括整个链,以便我的客户可以验证签名。

如果我这样做:

keytool -exportcert -keystore mykestore.jks -file mycert.crt -alias myalias
openssl x509 -out mycert.crt.pem -outform pem -in mycert.crt -inform der

它只包括最低级别的证书。验证失败:

$ openssl s_client -connect localhost:443
CONNECTED(00000003)
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=123123
... (only one certificate!)
...
SSL-Session:
    ...
    Verify return code: 21 (unable to verify the first certificate)

来自Java:

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

而具有相同JKS密钥库的Jetty将打印以下内容:

$ openssl s_client -connect localhost:8084
CONNECTED(00000003)
depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
...
SSL-Session:
    Verify return code: 19 (self signed certificate in certificate chain)

尽管openssl返回了19个错误,但它不再是Java的问题 HttpsURLConnection 这就是我关心的一切。

那么,我该如何出口呢 整个链条 来自JKS的格式(例如PEM)与nginx服务器和Java客户端一起使用?我错过了什么?


5203
2017-09-23 12:30


起源
你问的最后一个问题的答案在我的答案的最后。 - djangofan

答案:

我经常遇到的一个相当大的问题是,在生成CSR以获取我们的证书时,密钥库(Sun格式化的jks密钥库)不输出.key或提供用于获取.key的任何工具。所以我总是最终得到一个.pem / .crt而无法与Apache2一起使用,Apache2无法读取像Tomcat那样的JKS密钥库,而是需要一个未打包的.key + .pem / .crt对。

首先,获取现有密钥库的“副本”并跳到下面的第5个命令,或者像这样创建自己的密钥库:

C:\Temp>keytool -genkey -alias tomcat -keyalg RSA -keystore
 keystore.jks -keysize 2048 -validity 730 -storepass changeit

然后,可选择创建2年CSR,然后在下一个3步骤中导入CSR响应:

C:\Temp>keytool -certreq -alias mydomain -keystore keystore.jks
 -file mydomain.csr
C:\Temp>keytool -import -trustcacerts -alias root -file
 RootPack.crt -keystore keystore.jks -storepass changeit
C:\Temp>keytool -import -trustcacerts -alias tomcat -file mydomain.response.crt
 -keystore keystore.jks -storepass changeit

要使其正常工作,并且您已经拥有用于Tomcat应用程序服务器的JKS密钥库文件,请执行以下步骤:

首先,将DER(二进制)格式的证书放入名为“exported-der.crt”的文件中:

C:\Temp>keytool -export -alias tomcat -keystore keystore.jks -file
 exported-der.crt

然后,查看并验证它:

C:\Temp>openssl x509 -noout -text -in exported-der.crt -inform der

现在,您需要将其转换为PEM格式,这种格式在Apache和OpenSSL等应用程序中更广泛地用于PKCS12转换:

C:\Temp>openssl x509 -in exported-der.crt -out exported-pem.crt 
-outform pem -inform der

然后,下载并使用ExportPriv从密钥库中获取未加密的私钥:

C:\Temp>java ExportPriv <keystore> <alias> <password> > exported-pkcs8.key

到目前为止,您可能已经意识到,私钥正在导出为PKCS#8 PEM格式。要使其成为适用于Apache(PKCS#12 ??)的RSA格式,您可以发出以下命令:

C:\Temp>openssl pkcs8 -inform PEM -nocrypt -in exported-pkcs8.key
 -out exported-pem.key

9
2017-10-21 20:15



您可以轻松地将JKS文件转换为PKCS12文件:

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore keystore.p12

然后,您可以使用以下内容提取私钥和任何证书:

openssl pkcs12 -in keystore.p12

6
2018-02-04 16:35



我不确定是否有可能提取链 keytool 但它可以用一个小的Java程序完成:

public void extract(KeyStore ks, String alias, char[] password, File dstdir) throws Exception
{
    KeyStore.PasswordProtection pwd = new KeyStore.PasswordProtection(password);
    KeyStore.PrivateKeyEntry entry = (KeyStore.PasswordKeyEntry)ks.getEntry(alias, pwd);
    Certificate[] chain = entry.getCertificateChain();
    for (int i = 0; i < chain.length; i++) {
        Certificate c = chain[i];
        FileOutputStream out = new FileOutputStream(new File(dstdir, String.format("%s.%d.crt", alias, i)));
        out.write(c.getEncoded());
        out.close();
    }
}

此代码应在提交的目录中以DER格式编写链的所有证书。


0
2017-09-28 12:00



热门问题

不使用eval / new函数的JavaScript模板库 当涉及内部类时,Java继承如何工作 .NET Windows服务的奇怪问题 在.ipa或.app下查找App ID 快速入门XSLT参考[关闭] 如何找出Android应用程序中未使用的资源 Ruby中并发的同步方法[重复] 将std :: chrono :: system_clock :: time_point转换为struct timeval并返回 Google Drive API V3(javascript)更新文件内容 Bootstrap 3.0 - 将元素推到底部 受密码保护的.NET ClickOnce部署? 如何用postgresql安装wordpress coq Set或Type如何成为命题 硒滚动元素进入(中心)视图 在Spring Transaction JUnit测试中自动装配Hibernate会话的正确方法 Git的Dockerfile策略 如何在FOS_PICKFOLDER中使用IFileDialog,同时仍在对话框中显示文件名 在Firefox扩展中复制Google Chrome浏览器操作弹出效果 CakePHP找到MAX 芹菜 - 完成任务的召唤功能 从使用fmemopen创建的流中读取宽字符 .NET是否为每个程序集创建一个字符串实习池? DefaultModelBinder不绑定嵌套模型 Navigator.MediaDevices.getUserMedia()使用了哪些相机通信标准? 选择命名空间名称时应该知道什么? cout Swagger Codegen CLI Java客户端 - 如何正确使用它 一个很好的哈希函数用于采访整数,字符串? Maven 3 ciManagement配置的目的是什么? 如何通过语言文化获取代码页?
licensed under cc by-sa 3.0 with attribution.
隐私政策 往来