170

自分自身を認証する必要がある SSL サーバーに接続しようとしています。Apache MINA で SSL を使用するには、適切な JKS ファイルが必要です。ただし、.PEM ファイルしか提供されていません。

PEM ファイルから JKS ファイルを作成するにはどうすればよいですか?

4

10 に答える 10

267

まず、証明書を DER 形式に変換します。

openssl x509 -outform der -in certificate.pem -out certificate.der

その後、キーストアにインポートします。

keytool -import -alias your-alias -keystore cacerts -file certificate.der
于 2012-12-21T14:43:30.373 に答える
20

PEM 証明書を Java キーストアに直接インポートするhttp://code.google.com/p/java-keyutil/を開発しました。その主な目的は、ca-bundle.crt などのマルチパート PEM オペレーティング システム証明書バンドルをインポートすることです。これらには、多くの場合、keytool が処理できないヘッダーが含まれます

</self promotion>
于 2012-07-26T11:09:40.407 に答える
16

私の場合、相互 SSL 認証で使用される 2 つの証明書と暗号化された秘密鍵を含む pem ファイルがありました。したがって、私のpemファイルは次のようになります。

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,C8BF220FC76AA5F9

...

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

これが私がしたことです

ファイルを 3 つの個別のファイルに分割し、各ファイルに 1 つのエントリのみが含まれるようにします。行---BEGIN..で始まり、行で終わり---END..ます。、、、の 3 つのファイルがcert1.pemあるcert2.pemとしpkey.pemます。

pkey.pemopenssl と次の構文を使用して、DER 形式に変換します。

openssl pkcs8 -topk8 -nocrypt -in pkey.pem -inform PEM -out pkey.der -outform DER

秘密鍵が暗号化されている場合、DER 形式に変換するためにパスワードを入力する必要があることに注意してください (元の pem ファイルの提供者から入手して opensslください) pkey.pem

変換が成功すると、 という新しいファイルが作成されpkey.derます。

新しい Java キーストアを作成し、秘密鍵と証明書をインポートします。

String keypass = "password";  // this is a new password, you need to come up with to protect your java key store file
String defaultalias = "importkey";
KeyStore ks = KeyStore.getInstance("JKS", "SUN");

// this section does not make much sense to me, 
// but I will leave it intact as this is how it was in the original example I found on internet:   
ks.load( null, keypass.toCharArray());
ks.store( new FileOutputStream ( "mykeystore"  ), keypass.toCharArray());
ks.load( new FileInputStream ( "mykeystore" ),    keypass.toCharArray());
// end of section..


// read the key file from disk and create a PrivateKey

FileInputStream fis = new FileInputStream("pkey.der");
DataInputStream dis = new DataInputStream(fis);
byte[] bytes = new byte[dis.available()];
dis.readFully(bytes);
ByteArrayInputStream bais = new ByteArrayInputStream(bytes);

byte[] key = new byte[bais.available()];
KeyFactory kf = KeyFactory.getInstance("RSA");
bais.read(key, 0, bais.available());
bais.close();

PKCS8EncodedKeySpec keysp = new PKCS8EncodedKeySpec ( key );
PrivateKey ff = kf.generatePrivate (keysp);


// read the certificates from the files and load them into the key store:

Collection  col_crt1 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert1.pem"));
Collection  col_crt2 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert2.pem"));

Certificate crt1 = (Certificate) col_crt1.iterator().next();
Certificate crt2 = (Certificate) col_crt2.iterator().next();
Certificate[] chain = new Certificate[] { crt1, crt2 };

String alias1 = ((X509Certificate) crt1).getSubjectX500Principal().getName();
String alias2 = ((X509Certificate) crt2).getSubjectX500Principal().getName();

ks.setCertificateEntry(alias1, crt1);
ks.setCertificateEntry(alias2, crt2);

// store the private key
ks.setKeyEntry(defaultalias, ff, keypass.toCharArray(), chain );

// save the key store to a file         
ks.store(new FileOutputStream ( "mykeystore" ),keypass.toCharArray());

(省略可能) 新しいキー ストアの内容を確認します。

$ keytool -list -keystore mykeystore -storepass password

キーストア タイプ: JKS キーストア プロバイダ: SUN

キーストアには 3 つのエントリが含まれています。

  • cn=...,ou=...,o=..、2014 年 9 月 2 日、trustedCertEntry、証明書のフィンガープリント (SHA1): 2C:B8: ...

  • importkey、2014 年 9 月 2 日、PrivateKeyEntry、証明書の指紋 (SHA1): 9C:B0: ...

  • cn=...、o=....、2014 年 9 月 2 日、trustedCertEntry、証明書の指紋 (SHA1): 83:63: ...

(オプション) SSL サーバーに対して、新しいキー ストアからの証明書と秘密鍵をテストします (VM オプションとしてデバッグを有効にすることもできます: -Djavax.net.debug=all )。

        char[] passw = "password".toCharArray();
        KeyStore ks = KeyStore.getInstance("JKS", "SUN");
        ks.load(new FileInputStream ( "mykeystore" ), passw );

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, passw);

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        TrustManager[] tm = tmf.getTrustManagers();

        SSLContext sclx = SSLContext.getInstance("TLS");
        sclx.init( kmf.getKeyManagers(), tm, null);

        SSLSocketFactory factory = sclx.getSocketFactory();
        SSLSocket socket = (SSLSocket) factory.createSocket( "192.168.1.111", 443 );
        socket.startHandshake();

        //if no exceptions are thrown in the startHandshake method, then everything is fine..

最後に、使用する予定がある場合は、証明書を HttpsURLConnection に登録します。

        char[] passw = "password".toCharArray();
        KeyStore ks = KeyStore.getInstance("JKS", "SUN");
        ks.load(new FileInputStream ( "mykeystore" ), passw );

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, passw);

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        TrustManager[] tm = tmf.getTrustManagers();

        SSLContext sclx = SSLContext.getInstance("TLS");
        sclx.init( kmf.getKeyManagers(), tm, null);

        HostnameVerifier hv = new HostnameVerifier()
        {
            public boolean verify(String urlHostName, SSLSession session)
            {
                if (!urlHostName.equalsIgnoreCase(session.getPeerHost()))
                {
                    System.out.println("Warning: URL host '" + urlHostName + "' is different to SSLSession host '" + session.getPeerHost() + "'.");
                }
                return true;
            }
        };

        HttpsURLConnection.setDefaultSSLSocketFactory( sclx.getSocketFactory() );
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
于 2014-09-03T17:27:17.203 に答える
9

これは時々行うものなので、これを行う方法を常に忘れています。これは1つの可能な解決策であり、うまく機能します。

  1. お気に入りのブラウザーに移動し、保護された Web サイトからメインの証明書をダウンロードします。

  2. 次の 2 行のコードを実行します。

    $ openssl x509 -outform der -in GlobalSignRootCA.crt -out GlobalSignRootCA.der
$ keytool -import -alias GlobalSignRootCA -keystore GlobalSignRootCA.jks -file GlobalSignRootCA.der

  3. Java SE 環境で実行する場合は、次のオプションを追加します。

    $ java -Djavax.net.ssl.trustStore=GlobalSignRootCA.jks -Djavax.net.ssl.trustStorePassword=trustStorePassword -jar MyJar.jar

  4. または、Java コードに以下を追加します。

    System.setProperty("javax.net.ssl.trustStore", "GlobalSignRootCA.jks");
System.setProperty("javax.net.ssl.trustStorePassword","trustStorePassword");

ステップ 2 のもう 1 つのオプションは、keytoolコマンドを使用することです。以下は、一連の証明書を使用した例です。

$ keytool -import -file org.eu.crt -alias orgcrt -keystore globalsignrs.jks
$ keytool -import -file GlobalSignOrganizationValidationCA-SHA256-G2.crt -alias globalsignorgvalca -keystore globalsignrs.jks
$ keytool -import -file GlobalSignRootCA.crt -alias globalsignrootca -keystore globalsignrs.jks
于 2016-10-13T10:01:14.733 に答える
1

インターネットから入手しました。複数のエントリを含む pem ファイルに対しては非常にうまく機能します。

#!/bin/bash
pemToJks()
{
        # number of certs in the PEM file
        pemCerts=$1
        certPass=$2
        newCert=$(basename "$pemCerts")
        newCert="${newCert%%.*}"
        newCert="${newCert}"".JKS"
        ##echo $newCert $pemCerts $certPass
        CERTS=$(grep 'END CERTIFICATE' $pemCerts| wc -l)
        echo $CERTS
        # For every cert in the PEM file, extract it and import into the JKS keystore
        # awk command: step 1, if line is in the desired cert, print the line
        #              step 2, increment counter when last line of cert is found
        for N in $(seq 0 $(($CERTS - 1))); do
          ALIAS="${pemCerts%.*}-$N"
          cat $pemCerts |
                awk "n==$N { print }; /END CERTIFICATE/ { n++ }" |
                $KEYTOOLCMD -noprompt -import -trustcacerts \
                                -alias $ALIAS -keystore $newCert -storepass $certPass
        done
}
pemToJks <pem to import> <pass for new jks>
于 2018-05-29T09:20:04.057 に答える