如何将证书从PEM转换为JKS？

ssl java certificate jks pem

2022-09-01 20:25:16

我必须将PEM格式的证书转换为Java密钥库。

在Windows服务器上将此与tomcat一起使用

我有这些文件：

cert_request.csr

  -----BEGIN CERTIFICATE REQUEST-----
  ...
  -----END CERTIFICATE REQUEST-----

cert_public_key.pem

  -----BEGIN CERTIFICATE-----
  ...
  -----END CERTIFICATE-----

cert_private_key.pem

  -----BEGIN ENCRYPTED PRIVATE KEY-----
  ...
  -----END ENCRYPTED PRIVATE KEY-----

证书.txt
```
  contains an 16 digit key
```

我试图将pem文件组合在一起（通过将两个文件组合在一起），并将其与openssl转换为

.der 文件，并使用 keytool 将其导入到新的密钥库中
与 .p12 相同
直接导入到密钥库

我还尝试更改

    -----BEGIN ENCRYPTED PRIVATE KEY-----
    ...
    -----END ENCRYPTED PRIVATE KEY-----

到

    -----BEGIN RSA PRIVATE KEY-----
    ...
    -----END RSA PRIVATE KEY-----

并尝试了上述3种方式

我该怎么做才能获得工作证书？

编辑：

我将cert_public_key.pem和cert_private_key.pem合并为cert_comb.pem

    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    ...
    -----END ENCRYPTED PRIVATE KEY-----

答案 1

您不清楚合并了哪些文件，但是使用 openssl 将证书和私钥合并到 PKCS#12 中应该有效：

cat cert_public_key.pem cert_private_key.pem >combined.pem
openssl pkcs12 -export -in combined.pem -out cert.p12

或即时但（更新：）私钥必须是第一个：

cat cert_private_key.pem cert_public_key.pem | openssl pkcs12 -export -out cert.p12

如果您的证书需要任何链证书 - CA应该在您提交CSR并且他们颁发证书时告诉您这一点 - 现在最简单的方法也可以包括它（他们）。

然后（1）一些Java程序实际上可以直接使用pkcs12作为密钥库，但是（2）如果您需要或更喜欢JKS，请使用keytool：

keytool -importkeystore -srckeystore cert.p12 -srcstoretype pkcs12 -destkeystore cert.jks

如果您关心生成的JKS中的别名，则在转换后最容易修复它。

另外：仅仅更改加密的PEM中的标签并不会取消加密它，也不会将标签从通用PKCS#8更改为RSA实际上会更改要匹配的数据（并且它们不同，尽管只有一点点）。如果您确实需要一个包含解密私钥的单独 PEM 文件：

openssl pkey -in encryptedpk8 -out clearpk8.pem # 1.0.0 up
openssl pkcs8 -in encryptedpk8 -out clearpk8.pem # 1.0.0 up 
openssl pkcs8 -topk8 -nocrypt -in encryptedpk8 -out clearpk8.pem # below 1.0.0
openssl rsa -in encryptedpk8 -out clearrsa.pem

答案 2

第一个问题：您只有一个证书请求？不是实际的证书？它需要签名，您可以自行签名或由外部方签名。

如果您有实际的证书，则可以使用它来解析私钥文件和证书文件：

// parse the private key
KeyFactory keyFactory = KeyFactory.getInstance("RSA"); // might not be RSA
PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(byteArray);
PrivateKey privateKey = keyFactory.generatePrivate(spec);

// parse cert
CertificateFactory factory = CertificateFactory.getInstance("X.509");
X509Certificate cert = factory.generateCertificate(certInputStream);

// add it to the keystore
store.setKeyEntry(alias, privateKey, password, new X509Certificate[] { cert });

更新

据我所知，命令行keytool不支持任何高级选项，例如签署csr。即使是标准的java也不支持这一点，你需要一个像充气城堡这样的外部库。这并不容易。例如：

JcaPKCS10CertificationRequest pkcs10 = new JcaPKCS10CertificationRequest(csrBytes);
X509v3CertificateBuilder builder = new JcaX509v3CertificateBuilder(
        issuer,
        generateSerialId(),
        new Date(),
        until,
        subject,
        pkcs10.getPublicKey()
);

X509CertificateHolder holder = builder.build(getContentSigner(privateKey, type));
X509Certificate cert = getCertificate(holder);

...

ContentSigner getContentSigner(PrivateKey privateKey) {
    AsymmetricKeyParameter keyParameter = PrivateKeyFactory.createKey(privateKey.getEncoded());
    AlgorithmIdentifier sigAlgId = new DefaultSignatureAlgorithmIdentifierFinder().find("SHA256WITHRSA"); // or what you want
    AlgorithmIdentifier digAlgId = new DefaultDigestAlgorithmIdentifierFinder().find(sigAlgId);
    return new BcRSAContentSignerBuilder(sigAlgId, digAlgId).build(keyParameter);
}