Comment importer un X. 509 certificat et la clé privée en Java fichier de clés à utiliser dans le protocole SSL?

J'ai ceci dans un ActiveMQ config:

<sslContext>
        <sslContext keyStore="file:/home/alex/work/amq/broker.ks"  
 keyStorePassword="password" trustStore="file:${activemq.base}/conf/broker.ts" 
 trustStorePassword="password"/>
</sslContext>

J'ai une paire de X. 509 cert et un fichier de clé.

Comment puis-je importer les deux, afin de les utiliser dans le protocole SSL le protocole SSL+stomp connecteurs? Tous les exemples que je pourrais google toujours générer la clé eux-mêmes, mais j'ai déjà une clé.

J'ai essayé

keytool -import  -keystore ./broker.ks -file mycert.crt

mais cela ne importe le certificat et non pas le fichier de clé et les résultats dans

2009-05-25 13:16:24,270 [localhost:61612] ERROR TransportConnector - Could not accept connection : No available certificate or key corresponds to the SSL cipher suites which are enabled.

J'ai essayé la concaténation du cert et la clé, mais il a obtenu le même résultat.

Comment puis-je importer la clé?

  • Vous avez réellement besoin d'écrire un peu de code pour ce faire, et les détails dépendent du format de la clé privée que vous essayez d'importer. Quel est le format de votre clé? Pouvez-vous expliquer quels sont les outils que vous avez utilisé pour générer la clé et le certificat que vous avez?
InformationsquelleAutor Aleksandar Ivanisevic | 2009-05-25
  1. 67

    Croyez-le ou pas, keytool ne fournit pas ces fonctionnalités de base comme l'importation de la clé privée de magasin de clés. Vous pouvez essayer cette solution de contournement avec la fusion PKSC12 fichier avec la clé privée dans un fichier de clés.

    Ou tout simplement plus convivial KeyMan d'IBM pour le fichier de stockage des clés de la manipulation au lieu de keytool.exe.

    • Selon CoverosGene la réponse de keytool prend en charge depuis la version 6 de Java. C'est le lien il a fourni
    • Pour ce que ça vaut, pour le bruit de fond sur ce sujet, le meilleur lien est @Matej de 'contournement' lien vers cette 2008 post: cunning.sharp.fm/2008/06/importing_private_keys_into_a.html
    • J'ai suivi la réponse fournie par CoverosGene et cela a fonctionné.
    • KeyMan ne semble pas du tout user-friendly pour moi.
    • Lien brisé. Veuillez inclure les détails de la solution directement dans la réponse 🙁
    InformationsquelleAutor Matej
  2. 494

    J'ai utilisé les deux étapes suivantes, que j'ai trouvé dans les commentaires/posts liés dans les autres réponses:

    Première étape: Convertir les.x.509 cert et la clé d'un fichier pkcs12

    openssl pkcs12 -export -in server.crt -inkey server.key \
               -out server.p12 -name [some-alias] \
               -CAfile ca.crt -caname root

    Remarque: assurez-vous de mettre un mot de passe sur le fichier pkcs12 - sinon vous obtiendrez une exception de pointeur null lorsque vous essayez d'importer. (Au cas où quelqu'un d'autre a eu ce mal de tête). (Grâce jocull!)

    Note 2: Vous pouvez ajouter la -chain option pour conserver toute la chaîne de certificats. (Grâce Mafuba)

    Étape deux: Convertir le fichier pkcs12 à un keystore Java

    keytool -importkeystore \
        -deststorepass [changeit] -destkeypass [changeit] -destkeystore server.keystore \
        -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass some-password \
        -alias [some-alias]

    Fini

    Étape FACULTATIVE zéro: Créer un certificat auto-signé

    openssl genrsa -out server.key 2048
openssl req -new -out server.csr -key server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

    Cheers!

    • Assurez-vous de mettre un mot de passe sur le fichier p12 - sinon vous obtiendrez une référence nulle exception lorsque vous essayez d'importer. (Au cas où quelqu'un d'autre a eu ce mal de tête)
    • Après la création de ma clé et de la RSE avec openssl, et ensuite essayer de le faire fonctionner avec Jetty, cela a fait le tour. Beaucoup pense!
    • Dans mon cas, la première étape de l'option -CAfile ca.crt -caname root n'a pas correctement en sortie les certificats d'autorité de certification. Au lieu de cela j'ai utilisé -certfile concatenedCAFiles.pem
    • N'oubliez pas d'utiliser le -chain argument avec openssl pour inclure la totalité de la chaîne de certification dans votre pfx/p12 fichier si vous voulez que votre magasin de clés.
    • Dans un environnement Windows, pvk2pfx (standard VS outil disponible dans le VS cmd invite de commandes) s'cracher un .pfx--équivalent à un .p12. @jocull conseils sont toujours pertinents; mettre un mot de passe sur elle. Pas de openssl nécessaire.
    • L'ajout d'openssl pkcs12 -chaîne de commentaire par @Mufaba. La confiance de la chaîne de certificats sont manquants à partir de "keytool -list", sauf si vous utilisez le commentaire option comme "keytool -list-v ..." C'était déroutant moi parce que keytool dit un seul certificat importé et la liste n'était pas montrer ma chaîne jusqu'à ce que j'ai ajouté -v pour elle. Avec l'option-v, vous verrez "Certificat longueur de la chaîne: #" ET "Certificat[#]". Notez que le caname est inutile, car JKS chaîne ignore alias pour la confiance de la chaîne.
    • J'obtiens l'erreur suivante: keytool erreur: java.lang.Exception: Alias <...> n'existe pas
    • avez-vous utilisé le même alias dans les deux appels (j'ai utilisé some-alias dans l'exemple)? Si vous n'avez: pourriez-vous s'il vous plaît créer un pastebin/gist liste de toutes les étapes et leur pleine puissance.
    • Pour Tomcat en particulier, il est impératif que le keystore et la les mots de passe sont les mêmes. Lorsque vous importez un .p12 la clé aurez le mot de passe de l'original .p12. Tomcat va échouer avec java.security.UnrecoverableKeyException: Cannot recover key. En d'autres termes: si vous avez besoin d'exécuter -deststorepass changeit -srcstorepass some-password avec différentes les mots de passe, alors vous doit inclure -destkeypass changeit (avec le même mot de passe que -deststorepass)
    • Bouée de sauvetage sur l'EXIGENCE d'utiliser deststorepass et destkeypass paramètres. Pour ceux d'entre nous que la haine en passant des mots de passe dans la chaîne de commande pour tout voir/archive, pas un moyen de contourner cette fois, je suppose.
    • Si vous vous retrouvez avec le message d'erreur "Erreur impossible d'obtenir local certificat de l'émetteur à l'obtention de la chaîne." tout en utilisant le -chain option, vous devez importer l'autorité de certification Racine et peut-être aussi à l'autorité de certification Intermédiaire Certficates comme décrit ici: gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl dans le openssl Certficate dossier
    • pour tous -*pass, vous pouvez ajouter ":le fichier [fichier]" et ne pas mettre de mot de passe sur la ligne de commande, c'est à dire -deststorepass:fichier .pk
    • Super réponse! Dans mon cas, il y avait 2 l'autorité de certification de la chaîne, j'ai donc besoin de fusionner le CA du pem fichiers en un seul, et que l'option-CAfile paramètre (associé à la chaîne)
    • Le p12 fichier produit par openssl est déjà un keystore Java. Étape 2 fusionne simplement ce fichier de clés dans un existant, qui n'est nécessaire que si vous pour un existant (ancienne) de magasin de clés. Suis-je manqué quelque chose?
    • Savez-vous pourquoi j'ai l'exécution de l'une seule étape et ne pas arriver anythings, c'est un temps d'exécution?
    • la commande doit s'effectuer immédiatement. Vous avez probablement oublié -ou -inkey et que le système est en supposant que vous souhaitez coller la partie via stdin. Vérifiez votre commande avec soin. Peut-être que vous êtes aussi d'oublier un '\' à la fin d'une ligne.
    • Voici la pkcs12 création avec des mots de passe: openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name [some-alias] -passin pass:some-password -passout pass:some-password -CAfile ca.crt -caname root

    InformationsquelleAutor reto
  3. 117

    Keytool dans la version 6 de Java n'ont cette capacité: L'importation de clés privées dans un keystore Java à l'aide de keytool

    Voici les détails de base de ce poste.

    1. De convertir les cert à un PKCS12 utilisant OpenSSL. Un mot de passe est requis lors de la demande ou de la 2ème étape va se plaindre.

      openssl pkcs12 -export -in [my_certificate.crt] -inkey [my_key.key] -out [keystore.p12] -name [new_alias] -CAfile [my_ca_bundle.crt] -caname root

    2. Convertir PKCS12 à Java Fichier de magasin de clés.

      keytool -importkeystore -deststorepass [new_keystore_pass] -destkeypass [new_key_pass] -destkeystore [keystore.jks] -srckeystore [keystore.p12] -srcstoretype PKCS12 -srcstorepass [pass_used_in_p12_keystore] -alias [alias_used_in_p12_keystore]
    • La réponse par @reto contient le contenu de ce lien.
    • Comme l'a indiqué @Mafuba, vous devez toujours créer un pkcs12 keystore avec les non-java comme outil openssl - alors ce qui peut être importé dans un jks magasin par keytool comme indiqué dans la réponse par reto.
    • Une chose qui rend ce une bonne réponse est le fait que l'entrée certs sont clairement indiquées dans les crochets.
    InformationsquelleAutor CoverosGene
  4. 9

    Et un de plus:

    #!/bin/bash
# We have:
#
# 1) $KEY : Secret key in PEM format ("-----BEGIN RSA PRIVATE KEY-----") 
# 2) $LEAFCERT : Certificate for secret key obtained from some
#    certification outfit, also in PEM format ("-----BEGIN CERTIFICATE-----")   
# 3) $CHAINCERT : Intermediate certificate linking $LEAFCERT to a trusted
#    Self-Signed Root CA Certificate 
#
# We want to create a fresh Java "keystore" $TARGET_KEYSTORE with the
# password $TARGET_STOREPW, to be used by Tomcat for HTTPS Connector.
#
# The keystore must contain: $KEY, $LEAFCERT, $CHAINCERT
# The Self-Signed Root CA Certificate is obtained by Tomcat from the
# JDK's truststore in /etc/pki/java/cacerts
# The non-APR HTTPS connector (APR uses OpenSSL-like configuration, much
# easier than this) in server.xml looks like this 
# (See: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html):
#
#  <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
#                SSLEnabled="true"
#                maxThreads="150" scheme="https" secure="true"
#                clientAuth="false" sslProtocol="TLS"
#                keystoreFile="/etc/tomcat6/etl-web.keystore.jks"
#                keystorePass="changeit" />
#
# Let's roll:    
TARGET_KEYSTORE=/etc/tomcat6/foo-server.keystore.jks
TARGET_STOREPW=changeit
TLS=/etc/pki/tls
KEY=$TLS/private/httpd/foo-server.example.com.key
LEAFCERT=$TLS/certs/httpd/foo-server.example.com.pem
CHAINCERT=$TLS/certs/httpd/chain.cert.pem
# ----
# Create PKCS#12 file to import using keytool later
# ----
# From https://www.sslshopper.com/ssl-converter.html:
# The PKCS#12 or PFX format is a binary format for storing the server certificate,
# any intermediate certificates, and the private key in one encryptable file. PFX
# files usually have extensions such as .pfx and .p12. PFX files are typically used 
# on Windows machines to import and export certificates and private keys.
TMPPW=$$ # Some random password
PKCS12FILE=`mktemp`
if [[ $? != 0 ]]; then
echo "Creation of temporary PKCS12 file failed -- exiting" >&2; exit 1
fi
TRANSITFILE=`mktemp`
if [[ $? != 0 ]]; then
echo "Creation of temporary transit file failed -- exiting" >&2; exit 1
fi
cat "$KEY" "$LEAFCERT" > "$TRANSITFILE"
openssl pkcs12 -export -passout "pass:$TMPPW" -in "$TRANSITFILE" -name etl-web > "$PKCS12FILE"
/bin/rm "$TRANSITFILE"
# Print out result for fun! Bug in doc (I think): "-pass " arg does not work, need "-passin"
openssl pkcs12 -passin "pass:$TMPPW" -passout "pass:$TMPPW" -in "$PKCS12FILE" -info
# ----
# Import contents of PKCS12FILE into a Java keystore. WTF, Sun, what were you thinking?
# ----
if [[ -f "$TARGET_KEYSTORE" ]]; then
/bin/rm "$TARGET_KEYSTORE"
fi
keytool -importkeystore \
-deststorepass  "$TARGET_STOREPW" \
-destkeypass    "$TARGET_STOREPW" \
-destkeystore   "$TARGET_KEYSTORE" \
-srckeystore    "$PKCS12FILE" \
-srcstoretype  PKCS12 \
-srcstorepass  "$TMPPW" \
-alias foo-the-server
/bin/rm "$PKCS12FILE"
# ----
# Import the chain certificate. This works empirically, it is not at all clear from the doc whether this is correct
# ----
echo "Importing chain"
TT=-trustcacerts
keytool -import $TT -storepass "$TARGET_STOREPW" -file "$CHAINCERT" -keystore "$TARGET_KEYSTORE" -alias chain
# ----
# Print contents
# ----
echo "Listing result"
keytool -list -storepass "$TARGET_STOREPW" -keystore "$TARGET_KEYSTORE"
    InformationsquelleAutor David Tonhofer
  5. 8

    Oui, c'est en effet un triste fait que keytool n'a pas de fonctionnalité d'importation d'une clé privée.

    Pour l'enregistrement, à la fin, je suis allé avec la solution décrite ici

    InformationsquelleAutor Aleksandar Ivanisevic
  6. 7

    D'abord les convertir à p12:

    openssl pkcs12 -export -in [filename-certificate] -inkey [filename-key] -name [host] -out [filename-new-PKCS-12.p12]

    Créer de nouveaux JKS de p12:

    keytool -importkeystore -deststorepass [password] -destkeystore [filename-new-keystore.jks] -srckeystore [filename-new-PKCS-12.p12] -srcstoretype PKCS12
    InformationsquelleAutor Michał Jurczuk
  7. 6

    Dans mon cas, j'ai eu un fichier pem qui contenait deux certificats et chiffrée de la clé privée utilisée dans la mutuelle authentification SSL.
    Donc mon fichier pem ressemblait à ceci:

    -----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,C8BF220FC76AA5F9
...
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

    Voici ce que j'ai fait:

    Diviser le fichier en trois fichiers distincts, de sorte que chacun d'eux contient juste une entrée,
    en commençant par "---COMMENCER.." et finissant par "---FIN.." lignes. Supposons que nous avons maintenant trois fichiers: cert1.pem cert2.pem et pkey.pem

    Convertir pkey.pem dans DER format à l'aide d'openssl et de la syntaxe suivante:

    openssl pkcs8 -topk8 -nocrypt -in pkey.pem -inform PEM -out pkey.der -outform DER

    Noter, que si la clé privée est chiffrée, vous devez fournir un mot de passe( l'obtenir à partir du fournisseur de l'original du fichier pem )
    pour convertir au format DER,
    openssl va vous demander le mot de passe comme ceci: "entrez un pass phraze pour pkey.pem:"
    Si la conversion est réussie, vous obtiendrez un nouveau fichier appelé "pkey.der"

    Créer un nouveau java magasin de clés et importer les clés privées et les certificats:

    String keypass = "password";  //this is a new password, you need to come up with to protect your java key store file
String defaultalias = "importkey";
KeyStore ks = KeyStore.getInstance("JKS", "SUN");
//this section does not make much sense to me, 
//but I will leave it intact as this is how it was in the original example I found on internet:   
ks.load( null, keypass.toCharArray());
ks.store( new FileOutputStream ( "mykeystore"  ), keypass.toCharArray());
ks.load( new FileInputStream ( "mykeystore" ),    keypass.toCharArray());
//end of section..
//read the key file from disk and create a PrivateKey
FileInputStream fis = new FileInputStream("pkey.der");
DataInputStream dis = new DataInputStream(fis);
byte[] bytes = new byte[dis.available()];
dis.readFully(bytes);
ByteArrayInputStream bais = new ByteArrayInputStream(bytes);
byte[] key = new byte[bais.available()];
KeyFactory kf = KeyFactory.getInstance("RSA");
bais.read(key, 0, bais.available());
bais.close();
PKCS8EncodedKeySpec keysp = new PKCS8EncodedKeySpec ( key );
PrivateKey ff = kf.generatePrivate (keysp);
//read the certificates from the files and load them into the key store:
Collection  col_crt1 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert1.pem"));
Collection  col_crt2 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert2.pem"));
Certificate crt1 = (Certificate) col_crt1.iterator().next();
Certificate crt2 = (Certificate) col_crt2.iterator().next();
Certificate[] chain = new Certificate[] { crt1, crt2 };
String alias1 = ((X509Certificate) crt1).getSubjectX500Principal().getName();
String alias2 = ((X509Certificate) crt2).getSubjectX500Principal().getName();
ks.setCertificateEntry(alias1, crt1);
ks.setCertificateEntry(alias2, crt2);
//store the private key
ks.setKeyEntry(defaultalias, ff, keypass.toCharArray(), chain );
//save the key store to a file         
ks.store(new FileOutputStream ( "mykeystore" ),keypass.toCharArray());

    (facultatif) Vérifiez le contenu de votre nouveau magasin de clés:

    keytool -list -keystore mykeystore -storepass password

    Type de magasin de clés: JKS Keystore fournisseur de: SOLEIL

    Votre fichier de clés contient 3 entrées

    cn=...,ou=...,o=.., Sep 2, 2014, trustedCertEntry, Certificat
    d'empreintes digitales (SHA1): 2C:B8: ...

    importkey, Sep 2, 2014, PrivateKeyEntry, Certificat d'empreintes digitales
    (SHA1): 9C:B0: ...

    cn=...,o=...., Sep 2, 2014, trustedCertEntry, Certificat d'empreintes digitales
    (SHA1): 83:63: ...

    (en option) Test de votre certificat et la clé privée à partir de votre nouveau magasin de clés à l'encontre de votre serveur SSL:
    ( Vous souhaiterez peut-être activer le débogage comme une VM option: -Djavax.net.debug=tous )

            char[] passw = "password".toCharArray();
KeyStore ks = KeyStore.getInstance("JKS", "SUN");
ks.load(new FileInputStream ( "mykeystore" ), passw );
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, passw);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(ks);
TrustManager[] tm = tmf.getTrustManagers();
SSLContext sclx = SSLContext.getInstance("TLS");
sclx.init( kmf.getKeyManagers(), tm, null);
SSLSocketFactory factory = sclx.getSocketFactory();
SSLSocket socket = (SSLSocket) factory.createSocket( "192.168.1.111", 443 );
socket.startHandshake();
//if no exceptions are thrown in the startHandshake method, then everything is fine..

    Enfin enregistrer vos certificats avec HttpsURLConnection si l'intention de l'utiliser:

            char[] passw = "password".toCharArray();
KeyStore ks = KeyStore.getInstance("JKS", "SUN");
ks.load(new FileInputStream ( "mykeystore" ), passw );
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, passw);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(ks);
TrustManager[] tm = tmf.getTrustManagers();
SSLContext sclx = SSLContext.getInstance("TLS");
sclx.init( kmf.getKeyManagers(), tm, null);
HostnameVerifier hv = new HostnameVerifier()
{
public boolean verify(String urlHostName, SSLSession session)
{
if (!urlHostName.equalsIgnoreCase(session.getPeerHost()))
{
System.out.println("Warning: URL host '" + urlHostName + "' is different to SSLSession host '" + session.getPeerHost() + "'.");
}
return true;
}
};
HttpsURLConnection.setDefaultSSLSocketFactory( sclx.getSocketFactory() );
HttpsURLConnection.setDefaultHostnameVerifier(hv);
    • Cependant, Bruno mentionné que ce nom d'hôte du vérificateur est mauvais: "Votre nom d'hôte du vérificateur est mal, session.getPeerHost() ne retourne pas le nom dans le certificat, mais le nom que vous avez connecté (par exemple, la urlHostName ici), de sorte que c'est toujours vrai. Vous êtes toujours le retour de vrai de toute façon. – Bruno". Il a travaillé pour moi, mais j'apprécierais si quelqu'un me montre comment écrire un bon nom d'hôte du vérificateur.
    • Bien sûr, il va "travailler" pour vous, car il ne produira jamais une erreur, même quand il le faut. Laissez le nom d'hôte par défaut vérificateur utilisé par HttpsURLConnection au lieu d'essayer de rédiger votre propre. (Un autre problème avec votre exemple est que vous utilisez le même fichier de clés en tant que fichier de clés et d'un truststore, ce qui n'est pas toujours une bonne idée...)
    InformationsquelleAutor Interkot
  8. 5

    Sur la base des réponses ci-dessus, voici comment créer un nouveau fichier de stockage des clés pour votre java serveur web, d'une manière indépendante créée Comodo cert et la clé privée à l'aide de keytool (nécessite JDK 1.6+)

    1. Problème de cette commande et à l'invite de mot de passe entrez somepass - serveur.crt' est de votre serveur cert et server.key " est la clé privée que vous avez utilisé pour la délivrance de la RSE:
      openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name www.yourdomain.com -CAfile AddTrustExternalCARoot.crt -caname "AddTrust External CA Root"

    2. Puis utiliser l'utilitaire keytool pour convertir le keystore p12 dans un jks keystore:
      keytool -importkeystore -deststorepass somepass -destkeypass somepass -destkeystore keystore.jks -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass somepass

    De l'importer ensuite les deux autres de la racine/certificats intermédiaires que vous avez reçu de Comodo:

    1. Importation COMODORSAAddTrustCA.crt:
      keytool -import -trustcacerts -alias cert1 -file COMODORSAAddTrustCA.crt -keystore keystore.jks

    2. Importation COMODORSADomainValidationSecureServerca.crt:
      keytool -import -trustcacerts -alias cert2 -file COMODORSADomainValidationSecureServerCA.crt -keystore keystore.jks

    InformationsquelleAutor Alex Fotios
  9. 4

    Vous pouvez utiliser ces étapes pour importer la clé d'un fichier de clés existant. Les instructions sont associées à partir des réponses dans ce fil et sur d'autres sites. Ces instructions ont travaillé pour moi (le keystore java):

    1. Exécuter

    openssl pkcs12 -export -in yourserver.crt -inkey yourkey.key -out server.p12 -name somename -certfile yourca.crt -caname root

    (Si nécessaire, mettre la chaîne en option. La mise qui a échoué pour moi).
    Cela va demander le mot de passe, vous devez donner le mot de passe correct sinon vous obtiendrez un message d'erreur
    (erreur de cap ou de rembourrage d'erreur, etc).

    1. Il va vous demander de saisir un nouveau mot de passe, vous devez entrer un mot de passe - entrez ce que vous voulez, mais rappelez-vous il. (Nous supposons que vous entrez Aragorn).
    2. Cela va créer le serveur.p12 fichier au format pkcs.
    3. Maintenant l'importer dans le *.jks de l'exécution du fichier:


      keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12
      -destkeystore yourexistingjavakeystore.jks -deststoretype JKS -deststorepass existingjavastorepassword -destkeypass existingjavastorepassword


      (Très important - ne pas laisser les deststorepass et la destkeypass paramètres).
    4. Il vous demandera de la src mot de passe du magasin de clés. Entrez Aragorn et appuyez sur entrée.
      Le certificat et la clé est maintenant importé dans votre keystore java.
    InformationsquelleAutor vanval
  10. 3

    Réponses précédentes point de manière correcte, que vous ne pouvez le faire avec la norme JDK outils en convertissant le fichier JKS en format PKCS #12 premier. Si vous êtes intéressés, j'ai mis en place un compact utilitaire d'importation OpenSSL-clés dérivées dans un JKS format du fichier de clés sans avoir à convertir le keystore PKCS #12 en premier: http://commandlinefanatic.com/cgi-bin/showarticle.cgi?article=art049

    Vous utilisez liés utilitaire comme ceci:

    $ openssl req -x509 -newkey rsa:2048 -keyout localhost.key -out localhost.csr -subj "/CN=localhost"

    (signe de la RSE, de revenir localhost.cer)

    $ openssl rsa -in localhost.key -out localhost.rsa
Enter pass phrase for localhost.key:
writing RSA key
$ java -classpath . KeyImport -keyFile localhost.rsa -alias localhost -certificateFile localhost.cer -keystore localhost.jks -keystorePassword changeit -keystoreType JKS -keyPassword changeit
    • Juste un lien vers votre propre bibliothèque (ou l'utilité) n'est pas une bonne réponse. Lien vers elle, en expliquant pourquoi il résout le problème en fournissant le code à l'aide de le faire et déclinant fait pour une meilleure réponse. Voir: Comment puis-je créer un lien vers une ressource externe dans une communauté de pratique?
    • Pas sûr de ce que tu veux dire par "déclinons", mais j'ai ajouté un exemple.
    • Super! C'est une conserve commentaire, une partie ne s'applique pas - déclinons moyen de signaler votre affiliation avec le lié de produits ou de services, qui vous l'a fait avec "j'ai mis en place..."
    InformationsquelleAutor Joshua Davies
  11. 2

    Si vous avez un fichier PEM (par exemple server.pem) contenant:

    • le certificat de confiance
    • la clé privée

    vous pouvez ensuite importer le certificat et la clé dans un JKS keystore comme ceci:

    1) Copie de la clé privée à partir du fichier PEM dans un fichier ascii (par exemple,server.key)

    2) Copier le cert à partir du fichier PEM dans un fichier ascii (par exemple,server.crt)

    3) Exporter le certificat dans un fichier PKCS12:

    $ openssl pkcs12 -export -in server.crt -inkey server.key \
-out server.p12 -name [some-alias] -CAfile server.pem -caname root
    • le fichier PEM peut être utilisé comme argument de la -CAfile option.
    • vous êtes invité pour un "exporter" le mot de passe.
    • si cela dans git bash puis ajouter winpty le début de la commande si l'exportation de mot de passe peuvent être saisis.

    4) de Convertir le fichier PKCS12 à un JKS keystore:

    $ keytool -importkeystore -deststorepass changeit -destkeypass changeit \
-destkeystore keystore.jks  -srckeystore server.p12 -srcstoretype PKCS12 \
-srcstorepass changeit
    • la srcstorepass mot de passe doit correspondre à l'exportation mot de passe à partir de l'étape 3)
    InformationsquelleAutor Joman68
  12. 2

    Ce que je cherche à réaliser a l'aide déjà fournie clé privée et le certificat pour signer le message qui allait quelque part que nécessaire pour s'assurer que le message venait de moi (clés privées signent alors que les clés de chiffrement).

    Donc, si vous avez déjà un .fichier de clé et un .crt fichier?

    Essayez ceci:

    Etape 1: Convertir la clé et cert pour .fichier p12

    openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -name alias -out yourconvertedfile.p12

    Étape 2: Importer la clé et créer un .jsk fichier avec une seule commande

    keytool -importkeystore -deststorepass changeit -destkeystore keystore.jks -srckeystore umeme.p12 -srcstoretype PKCS12

    Étape 3: Dans votre java:

    char[] keyPassword = "changeit".toCharArray();
KeyStore keyStore = KeyStore.getInstance("JKS");
InputStream keyStoreData = new FileInputStream("keystore.jks");
keyStore.load(keyStoreData, keyPassword);
KeyStore.ProtectionParameter entryPassword = new KeyStore.PasswordProtection(keyPassword);
KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry)keyStore.getEntry("alias", entryPassword);
System.out.println(privateKeyEntry.toString());

    Si vous avez besoin de signer une chaîne de caractères à l'aide de cette clé, procédez de la manière suivante:

    Étape 1: Convertir le texte que vous souhaitez crypter

    byte[] data = "test".getBytes("UTF8");

    Étape 2: Obtenir encodées en base64 clé privée

    keyStore.load(keyStoreData, keyPassword);
//get cert, pubkey and private key from the store by alias
Certificate cert = keyStore.getCertificate("localhost");
PublicKey publicKey = cert.getPublicKey();
KeyPair keyPair = new KeyPair(publicKey, (PrivateKey) key);
//sign with this alg
Signature sig = Signature.getInstance("SHA1WithRSA");
sig.initSign(keyPair.getPrivate());
sig.update(data);
byte[] signatureBytes = sig.sign();
System.out.println("Signature:" + Base64.getEncoder().encodeToString(signatureBytes));
sig.initVerify(keyPair.getPublic());
sig.update(data);
System.out.println(sig.verify(signatureBytes));

    Références:

    1. Comment importer un certificat x509 et la clé privée dans le keystore Java pour utiliser SSL?
    2. http://tutorials.jenkov.com/java-cryptography/keystore.html
    3. http://www.java2s.com/Code/Java/Security/RetrievingaKeyPairfromaKeyStore.htm
    4. Comment signer chaîne avec la clé privée

    Programme Final

    public static void main(String[] args) throws Exception {
byte[] data = "test".getBytes("UTF8");
//load keystore
char[] keyPassword = "changeit".toCharArray();
KeyStore keyStore = KeyStore.getInstance("JKS");
//System.getProperty("user.dir") + "" < for a file in particular path 
InputStream keyStoreData = new FileInputStream("keystore.jks");
keyStore.load(keyStoreData, keyPassword);
Key key = keyStore.getKey("localhost", keyPassword);
Certificate cert = keyStore.getCertificate("localhost");
PublicKey publicKey = cert.getPublicKey();
KeyPair keyPair = new KeyPair(publicKey, (PrivateKey) key);
Signature sig = Signature.getInstance("SHA1WithRSA");
sig.initSign(keyPair.getPrivate());
sig.update(data);
byte[] signatureBytes = sig.sign();
System.out.println("Signature:" + Base64.getEncoder().encodeToString(signatureBytes));
sig.initVerify(keyPair.getPublic());
sig.update(data);
System.out.println(sig.verify(signatureBytes));
}
    InformationsquelleAutor Mwa Joe
  13. 1

    Il suffit de faire une PKCS12 keystore Java peut l'utiliser directement maintenant. En fait, si vous indiquez un Java-style de magasin de clés, keytool lui-même vous alerte sur le fait que PKCS12 est maintenant le format préféré.

    openssl pkcs12 -export -in server.crt -inkey server.key \
-out server.p12 -name [some-alias] \
-CAfile ca.crt -caname root -chain

    Vous devriez avoir reçu tous les trois fichiers (serveur de.crt, serveur.la clé, ca.crt) à partir de votre fournisseur de certificats. Je ne suis pas sûr de ce que "-caname racine" signifie réellement, mais il semble être définis de cette façon.

    Dans le code Java, assurez-vous de spécifier le bon type de magasin de clés.

    KeyStore.getInstance("PKCS12")

    J'ai obtenu mon comodo.com-délivré un certificat SSL fonctionne très bien dans NanoHTTPD de cette façon.

    InformationsquelleAutor Stefan Reich
  14. 0

    dans un cas d'une Courbe Elliptique et de répondre à la question importer un certificat x509 et la clé privée dans le keystore Java, vous voudrez peut-être avoir un coup d'oeil également à ce fil Comment lire CE de la clé Privée en java, ce qui est dans .pem format de fichier

    InformationsquelleAutor dilbertside
  15. 0

    À l'aide de Let's Encrypt certificats

    En supposant que vous avez créé vos certificats et les clés privées avec Let's Encrypt dans /etc/letsencrypt/live/you.com:

    1. Créer un PKCS #12 fichier

    openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out pkcs.p12 \
-name letsencrypt

    Cette combine votre certificat SSL fullchain.pem et votre clé privée privkey.pem en un seul fichier, pkcs.p12.

    Vous serez invité à entrer un mot de passe pour pkcs.p12.

    La export option indique qu'un fichier PKCS#12 sera créé plutôt que analysée (à partir de le manuel).

    2. Créer le keystore Java

    keytool -importkeystore -destkeystore keystore.jks -srckeystore pkcs.p12 \
-srcstoretype PKCS12 -alias letsencrypt

    Si keystore.jks n'existe pas, il sera créé contenant le pkcs.12 fichier créé ci-dessus. Sinon, vous allez importer pkcs.12 dans le fichier de clés existant.

    Ces instructions sont dérivées à partir de ce blog.

    Voici plus d' sur les différents types de fichiers dans /etc/letsencrypt/live/you.com/.

    InformationsquelleAutor Matthias Braun