Java keytool moyen facile d'ajouter un serveur cert à partir de l'url/port

J'ai un serveur avec un certificat auto-signé, mais exige également côté client cert authentification. Je vais avoir un moment difficile essayer d'obtenir les premières serveur d'autorité de certification cert afin que je puisse l'importer dans un fichier de clés. Quelqu'un a des suggestions sur la façon d'facilement le faire? Merci.

InformationsquelleAutor wuntee | 2010-09-10

76

Étais en train de regarder comment faire confiance à un certificat lors de l'utilisation de jenkins de la cli, et a trouvé
https://issues.jenkins-ci.org/browse/JENKINS-12629 qui a une recette pour cela.

Cela vous donnera le certificat:
```
openssl s_client -connect ${HOST}:${PORT} </dev/null
```
si vous êtes intéressé dans le certificat de la partie, le découper en tuyauterie à:
```
| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
```
et redirection vers un fichier:
```
> ${HOST}.cert
```
Puis de l'importer à l'aide de keytool:
```
keytool -import -noprompt -trustcacerts -alias ${HOST} -file ${HOST}.cert \
    -keystore ${KEYSTOREFILE} -storepass ${KEYSTOREPASS}
```
En une seule fois:
```
HOST=myhost.example.com
PORT=443
KEYSTOREFILE=dest_keystore
KEYSTOREPASS=changeme

# get the SSL certificate
openssl s_client -connect ${HOST}:${PORT} </dev/null \
    | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ${HOST}.cert

# create a keystore and import certificate
keytool -import -noprompt -trustcacerts \
    -alias ${HOST} -file ${HOST}.cert \
    -keystore ${KEYSTOREFILE} -storepass ${KEYSTOREPASS}

# verify we've got it.
keytool -list -v -keystore ${KEYSTOREFILE} -storepass ${KEYSTOREPASS} -alias ${HOST}
```
- Puis-je mettre HOST=*.example.com ?
- Pour moi, KEYSTOREPASS=changeit pas 'change'
- Début avec j7 en 2012, keytool (et CertificateFactory généralement) ignore étrangères du texte dans un fichier PEM pour un cert, de sorte que vous n'avez pas besoin de la sed. Aussi avec -noprompt et -storepass vous pouvez pipe avec pas de fichier temp: openssl s_client -connect host:port | keytool -import -noprompt -alias nm -keystore file -storepass pw
InformationsquelleAutor dnozay
21

Il y avait quelques façons que j'ai trouvé pour ce faire:
- Firefox: Ajouter Exception -> Obtenir un Certificat -> View -> Détails -> Export...
- KeyMan (http://www.alphaworks.ibm.com/tech/keyman) Vous pouvez obtenir de certificat SSL directement à partir du Fichier -> menu Importer
- InstallCert (Code par Andreas Sterbenz)
```
 java InstallCert [hôte]:[port] 
keytool -exportcert -keystore jssecacerts -storepass changeit -fichier de sortie.cert 
keytool -importcert -keystore [DESTINATION_KEYSTORE] -fichier de sortie.cert 
```
- J'ai utilisé Andreas Sterbenz de InstallCert classe avant de trop, son utile si vous avez besoin d'un certificat pour un serveur qui n'accepte pas les requêtes HTTP GET
- grâce wuntee, il m'a beaucoup aidé, parce que j'ai en stock ici: stackoverflow.com/questions/9210514/... 😀 ty
InformationsquelleAutor wuntee

J'utilise openssl, mais si vous préférez ne pas le faire, ou sur un système (en particulier Windows) qui ne l'a pas, depuis java 7 en 2011 keytool peut faire tout le travail:

 keytool -printcert -sslserver host[:port] -rfc >tempfile
 keytool -import [-noprompt] -alias nm -keystore file [-storepass pw] [-storetype ty] <tempfile 
 # or with noprompt and storepass (so nothing on stdin besides the cert) piping works:
 keytool -printcert -sslserver host[:port] -rfc | keytool -import -noprompt -alias nm -keystore file -storepass pw [-storetype ty]

A l'inverse, pour java 9 jusqu'à toujours, et pour les versions antérieures, dans de nombreux cas, Java peut utiliser un fichier PKCS12 d'un fichier de clés au lieu de la traditionnelle JKS fichier, et OpenSSL pouvez créer un PKCS12 sans aucune aide keytool:

openssl s_client -connect host:port </dev/null | openssl pkcs12 -export -nokeys [-name nm] [-passout option] -out p12file
# <NUL on Windows
# default is to prompt for password, but -passout supports several options 
# including actual value, envvar, or file; see the openssl(1ssl) man page

InformationsquelleAutor dave_thompson_085

4

Vous pouvez exporter un certificat à l'aide de Firefox, ce site a des instructions. Ensuite, vous utilisez keytool pour ajouter le certificat.

InformationsquelleAutor Jon Freedman

Simplement exposer dnozay's réponse à une fonction de sorte que nous pouvons importer des certificats multiples en même temps.

#!/usr/bin/env sh

KEYSTORE_FILE=dest_keystore
KEYSTORE_PASS=changeit


import_cert() {
  local HOST=$1
  local PORT=$2

  # get the SSL certificate
  openssl s_client -connect ${HOST}:${PORT} </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ${HOST}.cert

  # delete the old alias and then import the new one
  keytool -delete -keystore ${KEYSTORE_FILE} -storepass ${KEYSTORE_PASS} -alias ${HOST} &> /dev/null

  # create a keystore and import certificate
  keytool -import -noprompt -trustcacerts \
      -alias ${HOST} -file ${HOST}.cert \
      -keystore ${KEYSTORE_FILE} -storepass ${KEYSTORE_PASS}

  rm ${HOST}.cert
}

import_cert stackoverflow.com 443
import_cert www.google.com 443
import_cert 172.217.194.104 443 # google

InformationsquelleAutor Ninh Pham

Vous devez vous connecter pour publier un commentaire.