在 Java KeyStore 中导入私钥/公钥对 [重复]

【问题标题】:Importing the private-key/public-certificate pair in the Java KeyStore [duplicate]在 Java KeyStore 中导入私钥/公钥对 [重复]
【发布时间】:2013-07-15 17:47:03
【问题描述】:

我使用以下步骤创建了一个带有一对私钥/公钥的新 Java 密钥库,供具有 TLS 的 Java(内部)服务器使用。请注意证书是自签名的:

1) 使用 AES256 生成密钥

openssl genrsa -aes256 -out server.key 1024

2) 为 CA 生成证书请求

openssl req -x509 -sha256 -new -key server.key -out server.csr

3) 生成自签名有效期 10 年

openssl x509 -sha256 -days 3652 -in server.csr -signkey server.key -out selfsigned.crt

4) 使用KeyStoreExplorer 之类的程序将这对(私钥和自签名证书)导入新的 JKS 中

这可行,但我想在不使用 GUI 的情况下实现最后一步。

我只知道如何导入自签名证书:

// create the keystore and import the public key. THIS WILL NOT IMPORT THE PRIVATE KEY SO THE KEYSTORE CAN'T BE USED ON THE SERVER TO MAKE THE TLS CONNECTION
/usr/java/jdk1.6.0_45/bin/keytool -import -alias myservercert -file server.crt -keystore mykeystore.jks

所以问题是:如何在不使用 GUI 的情况下创建 Java KeyStore 并同时导入带有公钥和私钥的证书?

【问题讨论】:

  • 也许这个“ImportKey”Java 程序可以在没有 GUI 的情况下为您完成这项工作:agentbob.info/agentbob/79-AB.html
  • 如果目标系统是Java,则根本不需要使用OpenSSL,只需keytool即可。例如,请参阅 JSSE 参考指南或 keytool 的工具文档。

标签: java ssl x509certificate keytool


【解决方案1】:

使用您的私钥和公共证书,您需要先创建一个 PKCS12 密钥库,然后将其转换为 JKS。

# Create PKCS12 keystore from private key and public certificate.
openssl pkcs12 -export -name myservercert -in selfsigned.crt -inkey server.key -out keystore.p12

# Convert PKCS12 keystore into a JKS keystore
keytool -importkeystore -destkeystore mykeystore.jks -srckeystore keystore.p12 -srcstoretype pkcs12 -alias myservercert

要验证 JKS 的内容,可以使用以下命令:

keytool -list -v -keystore mykeystore.jks

如果这不是自签名证书,您可能希望按照此步骤导入导致受信任 CA 证书的证书链。

【讨论】:

  • stackoverflow.com/a/8224863/183622 展示了一个更全面的示例,包括 CA 证书和链保存(如果需要)
  • 1. openssl pkcs12 -inkey server_private.key -in my_server.crt -export -out intermediate_keys.pkcs12 和 2. keytool -importkeystore -srckeystore intermediate_keys.pkcs12 -srcstoretype pkcs12 -destkeystore my_keystore.jks 这些命令对我有用
【解决方案2】:

密钥库需要一个密钥库文件。 KeyStore 类需要 FileInputStream。但是,如果您提供 null(而不是 FileInputStream 实例)empty keystore will be loaded。创建密钥库后,您可以使用 keytool 验证其完整性。

以下代码使用空密码创建一个空密钥库

  KeyStore ks2 = KeyStore.getInstance("jks");
  ks2.load(null,"".toCharArray());
  FileOutputStream out = new FileOutputStream("C:\\mykeytore.keystore");
  ks2.store(out, "".toCharArray());

一旦你有了密钥库,导入证书就很容易了。签出this link 以获取示例代码。

【讨论】:

  • 无需编写任何代码即可完成此操作。您引用的链接包含重大错误。
  • @EJB,我在博客上看到了你的评论。我同意不需要编写任何代码来完成此操作。但是,如果必须以编程方式完成?
  • 另外,您对 InpputStream.available() 的观察是正确的,但我看到 FilterInputStream.available() 的文档说 返回对可以读取(或跳过)的字节数的估计) 来自这个输入流 并且没有警告!在示例中(在博客中),DataInputStream.available() 被到处使用,FilterInputStreamDataInputStream 扩展。在这种特殊情况下使用available() 不应该是安全的吗?
  • 请求通过适当的评论支持反对票。匿名投票对任何人都没有帮助。
  • 1.尽管如此,程序化创建仍然是“无 GUI”的选项之一。 2. 部分引用是针对我所说的这个“特殊案例”,我清楚地提到了这一点。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2013-08-06
  • 1970-01-01
  • 1970-01-01
  • 2016-08-09
  • 1970-01-01
  • 2012-06-26
  • 2010-12-20
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode