将 PEM 导入 Java 密钥库

【问题标题】:Import PEM into Java Key Store将 PEM 导入 Java 密钥库
【发布时间】:2011-01-09 11:36:42
【问题描述】:

我正在尝试连接到要求我进行身份验证的 SSL 服务器。为了在 Apache MINA 上使用 SSL,我需要一个合适的 JKS 文件。但是,我只得到了一个 .PEM 文件。

如何从 PEM 文件创建 JKS 文件?

【问题讨论】:

标签: java ssl keystore pem apache-mina


【解决方案1】:

如果您只想将 PEM 格式的证书导入密钥库,keytool 将完成这项工作:

keytool -import -alias *alias* -keystore cacerts -file *cert.pem*

【讨论】:

  • 如果我这样做,我会得到一个错误:keytool error: java.lang.Exception: Input not an X.509 certificate
  • @frandevel,此错误可能是由于 PEM 输入文件的标头高于 --- BEGIN 分隔符,或者一个文件中有多个 PEM 或两者兼有。一次删除所有无关数据并在每个 PEM 中输入,或者使用我的工具,如我的回答中所述。
  • 谢谢@Fuzzyfelt,我去看看
  • 同样的问题,.PEM 文件很干净,带有所有适当的标题。
【解决方案2】:

我开发了http://code.google.com/p/java-keyutil/,它将 PEM 证书直接导入 Java 密钥库。其主要目的是导入多部分 PEM 操作系统证书包,例如 ca-bundle.crt。这些通常包括 keytool 无法处理的标头

</self promotion>

【讨论】:

  • 不是一个糟糕的玩具项目,但keytool 已经为您完成了所有这些(以及更多)。 (顺便说一句,如果发生异常,您应该关闭 FileOutputStream,并关闭 finally 中的 I/O 流。)
  • 嗨,布鲁诺,感谢您的提示。真正的用例是一次性导入 /etc/pki/tls/certs/ca-bundle.crt (RHEL/CentOS) 的所有条目。 AFAIK,keytool 只会导入第一个条目。我见过很多人这样做不同,但它通常涉及为每个证书多次调用 keytool。 Ubuntu 有一个更新脚本可以做到这一点,除了 Ubuntu 将其证书存储在一个目录中。我将在不久的将来添加对目录的支持。再次感谢您查看代码。
【解决方案3】:

首先,将您的证书转换为 DER 格式:

openssl x509 -outform der -in certificate.pem -out certificate.der

然后,将其导入密钥库:

keytool -import -alias your-alias -keystore cacerts -file certificate.der

【讨论】:

  • 如果 .pem 文件包含多个证书,则不起作用。
  • 我只有一个证书 .pem,但这不起作用。 1795:错误:0906D06C:PEM 例程:PEM_read_bio:没有起始行:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:648:期待: 可信证书
  • 我找到了解决方案。将根证书和中间证书预先附加到 .pem,然后进行转换。
  • @Anthony 此命令仅说明如何将 PEM 导入 JKS。添加从商店导出 JKS 的命令可能是个好主意。
  • 如果我在 .pem 上有多个证书,如何导入 Java 密钥库?
【解决方案4】:

在我的例子中,我有一个 pem 文件,其中包含两个证书和一个用于相互 SSL 身份验证的加密私钥。 所以我的 pem 文件看起来像这样:

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,C8BF220FC76AA5F9

...

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

这就是我所做的

将文件分成三个单独的文件,每个文件只包含一个条目, 以---BEGIN.. 开头并以---END.. 结尾。假设我们现在有三个文件:cert1.pemcert2.pempkey.pem

使用 openssl 和以下语法将pkey.pem 转换为 DER 格式:

openssl pkcs8 -topk8 -nocrypt -in pkey.pem -inform PEM -out pkey.der -outform DER

注意,如果私钥被加密,您需要提供密码(从原始 pem 文件的供应商处获取)以转换为 DER 格式, openssl 会要求您输入这样的密码:“输入pkey.pem 的密码:”。

如果转换成功,你会得到一个名为pkey.der的新文件。

创建一个新的 java 密钥库并导入私钥和证书:

String keypass = "password";  // this is a new password, you need to come up with to protect your java key store file
String defaultalias = "importkey";
KeyStore ks = KeyStore.getInstance("JKS", "SUN");

// this section does not make much sense to me, 
// but I will leave it intact as this is how it was in the original example I found on internet:   
ks.load( null, keypass.toCharArray());
ks.store( new FileOutputStream ( "mykeystore"  ), keypass.toCharArray());
ks.load( new FileInputStream ( "mykeystore" ),    keypass.toCharArray());
// end of section..


// read the key file from disk and create a PrivateKey

FileInputStream fis = new FileInputStream("pkey.der");
DataInputStream dis = new DataInputStream(fis);
byte[] bytes = new byte[dis.available()];
dis.readFully(bytes);
ByteArrayInputStream bais = new ByteArrayInputStream(bytes);

byte[] key = new byte[bais.available()];
KeyFactory kf = KeyFactory.getInstance("RSA");
bais.read(key, 0, bais.available());
bais.close();

PKCS8EncodedKeySpec keysp = new PKCS8EncodedKeySpec ( key );
PrivateKey ff = kf.generatePrivate (keysp);


// read the certificates from the files and load them into the key store:

Collection  col_crt1 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert1.pem"));
Collection  col_crt2 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert2.pem"));

Certificate crt1 = (Certificate) col_crt1.iterator().next();
Certificate crt2 = (Certificate) col_crt2.iterator().next();
Certificate[] chain = new Certificate[] { crt1, crt2 };

String alias1 = ((X509Certificate) crt1).getSubjectX500Principal().getName();
String alias2 = ((X509Certificate) crt2).getSubjectX500Principal().getName();

ks.setCertificateEntry(alias1, crt1);
ks.setCertificateEntry(alias2, crt2);

// store the private key
ks.setKeyEntry(defaultalias, ff, keypass.toCharArray(), chain );

// save the key store to a file         
ks.store(new FileOutputStream ( "mykeystore" ),keypass.toCharArray());

(可选)验证新密钥库的内容:

$ keytool -list -keystore mykeystore -storepass password

密钥库类型:JKS 密钥库提供者:SUN

您的密钥库包含 3 个条目:

  • cn=...,ou=...,o=..,2014 年 9 月 2 日,trustedCertEntry, 证书指纹 (SHA1): 2C:B8: ...

  • importkey,2014 年 9 月 2 日,PrivateKeyEntry, 证书指纹 (SHA1): 9C:B0: ...

  • cn=...,o=....,2014 年 9 月 2 日,trustedCertEntry, 证书指纹 (SHA1):83:63:...

(可选)针对您的 SSL 服务器测试您的新密钥库中的证书和私钥: (您可能希望启用调试作为 VM 选项:-Djavax.net.debug=all)

        char[] passw = "password".toCharArray();
        KeyStore ks = KeyStore.getInstance("JKS", "SUN");
        ks.load(new FileInputStream ( "mykeystore" ), passw );

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, passw);

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        TrustManager[] tm = tmf.getTrustManagers();

        SSLContext sclx = SSLContext.getInstance("TLS");
        sclx.init( kmf.getKeyManagers(), tm, null);

        SSLSocketFactory factory = sclx.getSocketFactory();
        SSLSocket socket = (SSLSocket) factory.createSocket( "192.168.1.111", 443 );
        socket.startHandshake();

        //if no exceptions are thrown in the startHandshake method, then everything is fine..

如果打算使用它,最后向 HttpsURLConnection 注册您的证书:

        char[] passw = "password".toCharArray();
        KeyStore ks = KeyStore.getInstance("JKS", "SUN");
        ks.load(new FileInputStream ( "mykeystore" ), passw );

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, passw);

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        TrustManager[] tm = tmf.getTrustManagers();

        SSLContext sclx = SSLContext.getInstance("TLS");
        sclx.init( kmf.getKeyManagers(), tm, null);

        HostnameVerifier hv = new HostnameVerifier()
        {
            public boolean verify(String urlHostName, SSLSession session)
            {
                if (!urlHostName.equalsIgnoreCase(session.getPeerHost()))
                {
                    System.out.println("Warning: URL host '" + urlHostName + "' is different to SSLSession host '" + session.getPeerHost() + "'.");
                }
                return true;
            }
        };

        HttpsURLConnection.setDefaultSSLSocketFactory( sclx.getSocketFactory() );
        HttpsURLConnection.setDefaultHostnameVerifier(hv);

【讨论】:

  • 您的主机名验证程序错误,session.getPeerHost() 不会返回证书中的名称,而是您连接的名称(即此处的 urlHostName),所以这总是正确的。无论如何,你总是返回true
【解决方案5】:

我总是忘记如何做到这一点,因为这是我偶尔会做的事情,这是一种可能的解决方案,而且很有效:

  1. 转到您喜欢的浏览器并从安全网站下载主证书。

  2. 执行以下两行代码:

    $ openssl x509 -outform der -in GlobalSignRootCA.crt -out GlobalSignRootCA.der
$ keytool -import -alias GlobalSignRootCA -keystore GlobalSignRootCA.jks -file GlobalSignRootCA.der

  3. 如果在 Java SE 环境中执行,请添加以下选项:

    $ java -Djavax.net.ssl.trustStore=GlobalSignRootCA.jks -Djavax.net.ssl.trustStorePassword=trustStorePassword -jar MyJar.jar

  4. 或者在java代码中加入以下内容:

    System.setProperty("javax.net.ssl.trustStore", "GlobalSignRootCA.jks");
System.setProperty("javax.net.ssl.trustStorePassword","trustStorePassword");

第 2 步的另一个选项是仅使用 keytool 命令。 Bellow 是一个带有证书链的示例:

$ keytool -import -file org.eu.crt -alias orgcrt -keystore globalsignrs.jks
$ keytool -import -file GlobalSignOrganizationValidationCA-SHA256-G2.crt -alias globalsignorgvalca -keystore globalsignrs.jks
$ keytool -import -file GlobalSignRootCA.crt -alias globalsignrootca -keystore globalsignrs.jks

【讨论】:

    【解决方案6】:

    如果您需要一种在 Java 中加载 PEM 文件的简单方法无需处理外部工具(opensll、keytool),这是我在生产中使用的代码:

    import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.File;
import java.io.FileReader;
import java.io.IOException;
import java.security.KeyFactory;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.PrivateKey;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.interfaces.RSAPrivateKey;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.ArrayList;
import java.util.List;

import javax.net.ssl.KeyManager;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocketFactory;
import javax.xml.bind.DatatypeConverter;

public class PEMImporter {

    public static SSLServerSocketFactory createSSLFactory(File privateKeyPem, File certificatePem, String password) throws Exception {
        final SSLContext context = SSLContext.getInstance("TLS");
        final KeyStore keystore = createKeyStore(privateKeyPem, certificatePem, password);
        final KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(keystore, password.toCharArray());
        final KeyManager[] km = kmf.getKeyManagers();
        context.init(km, null, null);
        return context.getServerSocketFactory();
    }

    /**
     * Create a KeyStore from standard PEM files
     * 
     * @param privateKeyPem the private key PEM file
     * @param certificatePem the certificate(s) PEM file
     * @param the password to set to protect the private key
     */
    public static KeyStore createKeyStore(File privateKeyPem, File certificatePem, final String password)
            throws Exception, KeyStoreException, IOException, NoSuchAlgorithmException, CertificateException {
        final X509Certificate[] cert = createCertificates(certificatePem);
        final KeyStore keystore = KeyStore.getInstance("JKS");
        keystore.load(null);
        // Import private key
        final PrivateKey key = createPrivateKey(privateKeyPem);
        keystore.setKeyEntry(privateKeyPem.getName(), key, password.toCharArray(), cert);
        return keystore;
    }

    private static PrivateKey createPrivateKey(File privateKeyPem) throws Exception {
        final BufferedReader r = new BufferedReader(new FileReader(privateKeyPem));
        String s = r.readLine();
        if (s == null || !s.contains("BEGIN PRIVATE KEY")) {
            r.close();
            throw new IllegalArgumentException("No PRIVATE KEY found");
        }
        final StringBuilder b = new StringBuilder();
        s = "";
        while (s != null) {
            if (s.contains("END PRIVATE KEY")) {
                break;
            }
            b.append(s);
            s = r.readLine();
        }
        r.close();
        final String hexString = b.toString();
        final byte[] bytes = DatatypeConverter.parseBase64Binary(hexString);
        return generatePrivateKeyFromDER(bytes);
    }

    private static X509Certificate[] createCertificates(File certificatePem) throws Exception {
        final List<X509Certificate> result = new ArrayList<X509Certificate>();
        final BufferedReader r = new BufferedReader(new FileReader(certificatePem));
        String s = r.readLine();
        if (s == null || !s.contains("BEGIN CERTIFICATE")) {
            r.close();
            throw new IllegalArgumentException("No CERTIFICATE found");
        }
        StringBuilder b = new StringBuilder();
        while (s != null) {
            if (s.contains("END CERTIFICATE")) {
                String hexString = b.toString();
                final byte[] bytes = DatatypeConverter.parseBase64Binary(hexString);
                X509Certificate cert = generateCertificateFromDER(bytes);
                result.add(cert);
                b = new StringBuilder();
            } else {
                if (!s.startsWith("----")) {
                    b.append(s);
                }
            }
            s = r.readLine();
        }
        r.close();

        return result.toArray(new X509Certificate[result.size()]);
    }

    private static RSAPrivateKey generatePrivateKeyFromDER(byte[] keyBytes) throws InvalidKeySpecException, NoSuchAlgorithmException {
        final PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);
        final KeyFactory factory = KeyFactory.getInstance("RSA");
        return (RSAPrivateKey) factory.generatePrivate(spec);
    }

    private static X509Certificate generateCertificateFromDER(byte[] certBytes) throws CertificateException {
        final CertificateFactory factory = CertificateFactory.getInstance("X.509");
        return (X509Certificate) factory.generateCertificate(new ByteArrayInputStream(certBytes));
    }

}

    玩得开心。

    【讨论】:

    • 问题是关于“SSL over Apache MINA”,使用提供的“来自 PEM 功能的 SSLServerSocketFactory”配置起来更简单,请参阅mina.apache.org/mina-project/userguide/ch11-ssl-filter/…
    • 我尝试了上述方法来加载 PEM 文件(cert.pem 和 key.pem),但在尝试连接时收到错误消息。 Connecteion Ex:javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIX 路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到请求目标的有效证书路径
    • “无法找到到所请求目标的有效证书路径”经常发生在使用自签名证书或缺少中间证书时...
    • 这对我来说完美无缺。我的用例是生成一个 .jks 文件,所以我没有创建 socketFactory,而是做了 keyStore.store(stream, password)。
    【解决方案7】:

    我是从网上得到的。它适用于包含多个条目的 pem 文件。

    #!/bin/bash
pemToJks()
{
        # number of certs in the PEM file
        pemCerts=$1
        certPass=$2
        newCert=$(basename "$pemCerts")
        newCert="${newCert%%.*}"
        newCert="${newCert}"".JKS"
        ##echo $newCert $pemCerts $certPass
        CERTS=$(grep 'END CERTIFICATE' $pemCerts| wc -l)
        echo $CERTS
        # For every cert in the PEM file, extract it and import into the JKS keystore
        # awk command: step 1, if line is in the desired cert, print the line
        #              step 2, increment counter when last line of cert is found
        for N in $(seq 0 $(($CERTS - 1))); do
          ALIAS="${pemCerts%.*}-$N"
          cat $pemCerts |
                awk "n==$N { print }; /END CERTIFICATE/ { n++ }" |
                $KEYTOOLCMD -noprompt -import -trustcacerts \
                                -alias $ALIAS -keystore $newCert -storepass $certPass
        done
}
pemToJks <pem to import> <pass for new jks>

    【讨论】:

      【解决方案8】:

      还有一个 GUI 工具允许可视化 JKS 创建和证书导入。

      http://portecle.sourceforge.net/

      Portecle 是一个用户友好的 GUI 应用程序,用于创建、管理和检查密钥库、密钥、证书、证书请求、证书吊销列表等。

      【讨论】:

      • key store explorer 是现代版的 portecle。他们的菜单和功能完全没有区别。
      【解决方案9】:

      我用Keystore Explorer

      1. 用私钥打开 JKS
      2. 检查来自 CA 的已签名 PEM
      3. 导入密钥
      4. 保存 JKS

      【讨论】:

      • Keystore Explorer 很棒而且用途广泛。节省了在终端上花费几分钟的时间。
      【解决方案10】:

      虽然这个问题已经很老了,而且已经有很多答案,但我认为值得提供一个替代方案。使用本机 java 类使得仅使用 pem 文件变得非常冗长,并且几乎迫使您想要将 pem 文件转换为 p12 或 jks 文件,因为使用 p12 或 jks 文件要容易得多。我想给任何想要替代已提供答案的人。

      GitHub - SSLContext Kickstart

      var keyManager = PemUtils.loadIdentityMaterial("certificate-chain.pem", "private-key.pem");
var trustManager = PemUtils.loadTrustMaterial("some-trusted-certificate.pem");

var sslFactory = SSLFactory.builder()
          .withIdentityMaterial(keyManager)
          .withTrustMaterial(trustManager)
          .build();

var sslContext = sslFactory.getSslContext();

      我需要在这里提供一些免责声明,我是图书馆的维护者

      【讨论】:

        猜你喜欢
        • 2011-01-29
        • 1970-01-01
        • 2010-10-13
        • 2013-01-02
        • 2013-03-16
        • 2021-06-23
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode