Преобразование CA-подписанного хранилища JKS в PEM

Ответ 1

Очень большая проблема, с которой я часто сталкиваюсь, заключается в том, что при создании CSR для получения нашего сертификата хранилище ключей (отформатированное в формате jks kesystore) не выводит .key или не предоставляет никаких средств для получения ключа .key. Поэтому я всегда получал .pem/.crt, не используя его с Apache2, который не может читать хранилище JKS, например Tomcat, но вместо этого требует распакованную пару .key +.pem/.crt.

Чтобы начать, получите "копию" существующего хранилища ключей и перейдите к пятой команде ниже или создайте свой собственный вот так:

C:\Temp>keytool -genkey -alias tomcat -keyalg RSA -keystore
 keystore.jks -keysize 2048 -validity 730 -storepass changeit

Затем, необязательно, создайте 2-летнюю CSR и затем импортируйте ответ CSR в следующем трехэтапном процессе:

C:\Temp>keytool -certreq -alias mydomain -keystore keystore.jks
 -file mydomain.csr
C:\Temp>keytool -import -trustcacerts -alias root -file
 RootPack.crt -keystore keystore.jks -storepass changeit
C:\Temp>keytool -import -trustcacerts -alias tomcat -file mydomain.response.crt
 -keystore keystore.jks -storepass changeit

Чтобы получить эту работу, и если у вас уже есть файл хранилища JKS, который вы используете для сервера приложений Tomcat, выполните следующие действия:

Сначала получите DER (двоичный) отформатированный сертификат в файл с именем "exported-der.crt":

C:\Temp>keytool -export -alias tomcat -keystore keystore.jks -file
 exported-der.crt

Затем просмотрите и подтвердите это:

C:\Temp>openssl x509 -noout -text -in exported-der.crt -inform der

Теперь вы захотите преобразовать его в формат PEM, который более широко используется в таких приложениях, как Apache и OpenSSL для преобразования PKCS12:

C:\Temp>openssl x509 -in exported-der.crt -out exported-pem.crt 
-outform pem -inform der

Затем загрузите и используйте ExportPriv, чтобы получить незашифрованный закрытый ключ из хранилища ключей:

C:\Temp>java ExportPriv <keystore> <alias> <password> > exported-pkcs8.key

Теперь вы, вероятно, понимаете, что закрытый ключ экспортируется в формате PKCS # 8 PEM. Чтобы получить его в формате RSA, который работает с Apache (PKCS # 12??), вы можете выполнить следующую команду:

C:\Temp>openssl pkcs8 -inform PEM -nocrypt -in exported-pkcs8.key
 -out exported-pem.key

Ответ 2

Вы можете легко преобразовать файл JKS в файл PKCS12:

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore keystore.p12

Затем вы можете извлечь закрытый ключ и любые сертификаты с помощью:

openssl pkcs12 -in keystore.p12

Ответ 3

Я не уверен, что можно извлечь цепочку с помощью keytool, но это можно сделать с помощью небольшой программы Java:

public void extract(KeyStore ks, String alias, char[] password, File dstdir) throws Exception
{
    KeyStore.PasswordProtection pwd = new KeyStore.PasswordProtection(password);
    KeyStore.PrivateKeyEntry entry = (KeyStore.PasswordKeyEntry)ks.getEntry(alias, pwd);
    Certificate[] chain = entry.getCertificateChain();
    for (int i = 0; i < chain.length; i++) {
        Certificate c = chain[i];
        FileOutputStream out = new FileOutputStream(new File(dstdir, String.format("%s.%d.crt", alias, i)));
        out.write(c.getEncoded());
        out.close();
    }
}

Этот код должен записывать все сертификаты цепочки в формате DER в представленном каталоге.