如何列出/导出密钥库中的私钥?
如何列出密钥库并从中导出私钥?
答案 1
您可以使用 Java6 和 OpenSSL 从密钥库中提取私钥。这一切都取决于Java和OpenSSL都支持PKCS#12格式的密钥库。要进行提取,首先使用 转换为标准格式。请确保对两个文件使用相同的密码(私钥密码,而不是密钥库密码),否则您将在第二步中遇到奇怪的故障。keytool
keytool -importkeystore -srckeystore keystore.jks \
-destkeystore intermediate.p12 -deststoretype PKCS12
接下来,使用 OpenSSL 提取到 PEM:
openssl pkcs12 -in intermediate.p12 -out extracted.pem -nodes
您应该能够足够轻松地处理该PEM文件;它是纯文本,其中包含编码的未加密私钥和证书(以非常明显的格式)。
执行此操作时,请注意确保创建的文件安全。它们包含机密凭据。如果您未能正确保护它们,则没有任何警告。保护它们的最简单方法是在除用户以外的任何人没有任何访问权限的目录中执行所有这些操作。永远不要将密码放在命令行或环境变量中;其他用户太容易抓住了。
答案 2
最初来自示例 Depot 的一部分代码,用于列出密钥存储中的所有别名:
// Load input stream into keystore
keystore.load(is, password.toCharArray());
// List the aliases
Enumeration aliases = keystore.aliases();
for (; aliases.hasMoreElements(); ) {
String alias = (String)aliases.nextElement();
// Does alias refer to a private key?
boolean b = keystore.isKeyEntry(alias);
// Does alias refer to a trusted certificate?
b = keystore.isCertificateEntry(alias);
}
几个月前,Sun论坛上出现了私钥的导出,u:turingcompleter提出了一个DumpPrivateKey类来缝合到你的应用程序中。
import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;
import sun.misc.BASE64Encoder;
public class DumpPrivateKey {
/**
* Provides the missing functionality of keytool
* that Apache needs for SSLCertificateKeyFile.
*
* @param args <ul>
* <li> [0] Keystore filename.
* <li> [1] Keystore password.
* <li> [2] alias
* </ul>
*/
static public void main(String[] args)
throws Exception {
if(args.length < 3) {
throw new IllegalArgumentException("expected args: Keystore filename, Keystore password, alias, <key password: default same tha
n keystore");
}
final String keystoreName = args[0];
final String keystorePassword = args[1];
final String alias = args[2];
final String keyPassword = getKeyPassword(args,keystorePassword);
KeyStore ks = KeyStore.getInstance("jks");
ks.load(new FileInputStream(keystoreName), keystorePassword.toCharArray());
Key key = ks.getKey(alias, keyPassword.toCharArray());
String b64 = new BASE64Encoder().encode(key.getEncoded());
System.out.println("-----BEGIN PRIVATE KEY-----");
System.out.println(b64);
System.out.println("-----END PRIVATE KEY-----");
}
private static String getKeyPassword(final String[] args, final String keystorePassword)
{
String keyPassword = keystorePassword; // default case
if(args.length == 4) {
keyPassword = args[3];
}
return keyPassword;
}
}
注意:这个使用Sun包,这是一件“坏事”。
如果您可以下载apache共享资源代码,这里有一个版本可以在没有警告的情况下编译:
javac -classpath .:commons-codec-1.4/commons-codec-1.4.jar DumpPrivateKey.java
并将给出相同的结果:
import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;
//import sun.misc.BASE64Encoder;
import org.apache.commons.codec.binary.Base64;
public class DumpPrivateKey {
/**
* Provides the missing functionality of keytool
* that Apache needs for SSLCertificateKeyFile.
*
* @param args <ul>
* <li> [0] Keystore filename.
* <li> [1] Keystore password.
* <li> [2] alias
* </ul>
*/
static public void main(String[] args)
throws Exception {
if(args.length < 3) {
throw new IllegalArgumentException("expected args: Keystore filename, Keystore password, alias, <key password: default same tha
n keystore");
}
final String keystoreName = args[0];
final String keystorePassword = args[1];
final String alias = args[2];
final String keyPassword = getKeyPassword(args,keystorePassword);
KeyStore ks = KeyStore.getInstance("jks");
ks.load(new FileInputStream(keystoreName), keystorePassword.toCharArray());
Key key = ks.getKey(alias, keyPassword.toCharArray());
//String b64 = new BASE64Encoder().encode(key.getEncoded());
String b64 = new String(Base64.encodeBase64(key.getEncoded(),true));
System.out.println("-----BEGIN PRIVATE KEY-----");
System.out.println(b64);
System.out.println("-----END PRIVATE KEY-----");
}
private static String getKeyPassword(final String[] args, final String keystorePassword)
{
String keyPassword = keystorePassword; // default case
if(args.length == 4) {
keyPassword = args[3];
}
return keyPassword;
}
}
你可以这样使用它:
java -classpath .:commons-codec-1.4/commons-codec-1.4.jar DumpPrivateKey $HOME/.keystore changeit tomcat
推荐
-
从小程序安全警告中摆脱“未知”发布者 我正在尝试签署一个小程序,以便发布者不会显示为“未知”: 我为一个组织工作,我们有自己的证书颁发机构,证书链如下:ORG Root CA > ORG Trusted Certification Authority > Yann39 (me :D) 我申请了
-
javax.net.ssl.SSLException: java.security.InvalidAlgorithmParameterException: trustAnchors 参数必须为非空 我希望解析每天更新该文件的XML文件 - 我遇到的唯一问题是他们使用自己的证书(.),我不能使用该特定URL,也没有 http://...链接可用。 此代码在运行我的测试时引发以下异常: javax.net.ssl
-
Sun 的 Java SSL 实现正在泄漏内存? 我有一个服务器组件,我正在尝试进行负载测试。与服务器的所有连接都使用 TLS 1.0。我有一个简单的测试程序,基本上可以在我想要的任意数量的线程上执行此操作:
-
-
标签
推荐