Convertir CA-signé JKS fichier de clés à PEM

J'ai un JKS keystore avec certicat signé par le CA. J'ai besoin de l'exporter au format PEM afin de l'utiliser avec nginx. J'ai besoin de le faire de telle manière qu'il comprend l'ensemble de la chaîne, de sorte que mon client peut vérifier la signature.

Si je fais quelque chose comme:

keytool -exportcert -keystore mykestore.jks -file mycert.crt -alias myalias
openssl x509 -out mycert.crt.pem -outform pem -in mycert.crt -inform der

Il comprend uniquement le niveau le plus bas de certificat. L'échec de la vérification:

$ openssl s_client -connect localhost:443
CONNECTED(00000003)
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=123123
... (only one certificate!)
...
SSL-Session:
    ...
    Verify return code: 21 (unable to verify the first certificate)

De Java:

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Tandis que la Jetée avec le même JKS keystore imprime le suivant:

$ openssl s_client -connect localhost:8084
CONNECTED(00000003)
depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
...
SSL-Session:
    Verify return code: 19 (self signed certificate in certificate chain)

Bien que openssl retourne que 19 d'erreur, il n'est plus un problème pour Java HttpsURLConnection et c'est tout ce que j'aime.

Alors, comment puis-je exporter l'ensemble de la chaîne de JKS dans un format (par exemple PEM) qui fonctionne à la fois avec nginx serveur et client Java? Ce qui me manque?

La réponse à la dernière question que vous avez demandé est à la fin de ma réponse ci-dessous.

OriginalL'auteur Konrad Garus | 2011-09-23

  1. 10

    Un assez gros problème que je rencontre fréquemment, c'est que, lors de la génération de la RSE pour obtenir notre certificat, le fichier de clés (Soleil formaté jks keystore) n'est pas sortie de la .clé ou de fournir toute facilité pour obtenir les .clé. J'ai donc toujours eu fini avec un .pem/.crt avec aucun moyen de l'utiliser avec Apache2, qui ne peut pas lire un JKS keystore comme Tomcat peut, mais exige plutôt un non emballés .touche + .pem/.crt paire.

    Pour commencer, obtenir une “copie” de votre fichier de clés existant et passez directement à la 5ème commande ci-dessous, ou de créer votre propre comme ceci:

    C:\Temp>keytool -genkey -alias tomcat -keyalg RSA -keystore
 keystore.jks -keysize 2048 -validity 730 -storepass changeit

    Puis, éventuellement, de créer un programme de 2 ans de la RSE et de l'importer ensuite la RSE réponse, dans les 3 prochaines étapes:

    C:\Temp>keytool -certreq -alias mydomain -keystore keystore.jks
 -file mydomain.csr
C:\Temp>keytool -import -trustcacerts -alias root -file
 RootPack.crt -keystore keystore.jks -storepass changeit
C:\Temp>keytool -import -trustcacerts -alias tomcat -file mydomain.response.crt
 -keystore keystore.jks -storepass changeit

    Pour obtenir ce travail, et si vous avez déjà votre JKS fichier de magasin de clés que vous utilisez un serveur d'application Tomcat, suivez les étapes suivantes:

    Tout d'abord, obtenir la DER (binaire) mis en forme de certificat dans un fichier appelé “exportés en-der.crt”:

    C:\Temp>keytool -export -alias tomcat -keystore keystore.jks -file
 exported-der.crt

    Puis, view & vérifier:

    C:\Temp>openssl x509 -noout -text -in exported-der.crt -inform der

    Maintenant, vous voulez convertir au format PEM, qui est plus largement utilisé dans des applications telles que Apache et par OpenSSL pour faire le PKCS12 de conversion:

    C:\Temp>openssl x509 -in exported-der.crt -out exported-pem.crt 
-outform pem -inform der

    Ensuite, télécharger et utiliser ExportPriv pour obtenir le non chiffrée de la clé privée à partir de votre fichier de clés:

    C:\Temp>java ExportPriv <keystore> <alias> <password> > exported-pkcs8.key

    Maintenant vous avez probablement vous rendre compte, la clé privée est exporté en tant que fichier PKCS#8 format PEM. Le RSA format qui fonctionne avec Apache (PKCS#12??) vous pouvez émettre la commande suivante:

    C:\Temp>openssl pkcs8 -inform PEM -nocrypt -in exported-pkcs8.key
 -out exported-pem.key

    OriginalL'auteur djangofan

  2. 6

    Vous pouvez facilement convertir un fichier JKS dans un fichier PKCS12:

    keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore keystore.p12

    Vous pouvez ensuite extraire la clé privée et tout certs avec:

    openssl pkcs12 -in keystore.p12

    OriginalL'auteur Alastair McCormack

  3. 0

    Je ne suis pas sûr qu'il est possible d'extraire la chaîne de keytool mais il peut être fait avec un petit programme Java:

    public void extract(KeyStore ks, String alias, char[] password, File dstdir) throws Exception
{
    KeyStore.PasswordProtection pwd = new KeyStore.PasswordProtection(password);
    KeyStore.PrivateKeyEntry entry = (KeyStore.PasswordKeyEntry)ks.getEntry(alias, pwd);
    Certificate[] chain = entry.getCertificateChain();
    for (int i = 0; i < chain.length; i++) {
        Certificate c = chain[i];
        FileOutputStream out = new FileOutputStream(new File(dstdir, String.format("%s.%d.crt", alias, i)));
        out.write(c.getEncoded());
        out.close();
    }
}

    Ce code doit écrire tous les certificats de la chaîne de format DER dans le répertoire.

    OriginalL'auteur Jcs