Java keytool 从 url/port 添加服务器证书的简单方法

在使用 jenkins cli 时，正在研究如何信任证书，并发现了 https://issues.jenkins-ci.org/browse/JENKINS-12629 它有一些配方。

这将为您提供证书：

openssl s_client -connect ${HOST}:${PORT} </dev/null

如果您只对证书部分感兴趣，请将其通过管道将其切出：

| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

并重定向到文件：

> ${HOST}.cert

然后使用 keytool 导入它：

keytool -import -noprompt -trustcacerts -alias ${HOST} -file ${HOST}.cert \
    -keystore ${KEYSTOREFILE} -storepass ${KEYSTOREPASS}

一气呵成：

HOST=myhost.example.com
PORT=443
KEYSTOREFILE=dest_keystore
KEYSTOREPASS=changeme

# get the SSL certificate
openssl s_client -connect ${HOST}:${PORT} </dev/null \
    | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ${HOST}.cert

# create a keystore and import certificate
keytool -import -noprompt -trustcacerts \
    -alias ${HOST} -file ${HOST}.cert \
    -keystore ${KEYSTOREFILE} -storepass ${KEYSTOREPASS}

# verify we've got it.
keytool -list -v -keystore ${KEYSTOREFILE} -storepass ${KEYSTOREPASS} -alias ${HOST}

我使用openssl，但如果你不喜欢，或者在没有它的系统（特别是Windows）上，因为2011年的java 7 keytool可以完成整个工作：

 keytool -printcert -sslserver host[:port] -rfc >tempfile
 keytool -import [-noprompt] -alias nm -keystore file [-storepass pw] [-storetype ty] <tempfile 
 # or with noprompt and storepass (so nothing on stdin besides the cert) piping works:
 keytool -printcert -sslserver host[:port] -rfc | keytool -import -noprompt -alias nm -keystore file -storepass pw [-storetype ty]

相反，对于Java 9 up，对于早期版本，在许多情况下，Java可以使用PKCS12文件作为密钥库而不是传统的JKS文件，并且OpenSSL可以在没有任何keytool帮助的情况下创建PKCS12：

openssl s_client -connect host:port </dev/null | openssl pkcs12 -export -nokeys [-name nm] [-passout option] -out p12file
# <NUL on Windows
# default is to prompt for password, but -passout supports several options 
# including actual value, envvar, or file; see the openssl(1ssl) man page