如何在Java密钥存储库中导入现有的X.509证书和私钥以用于SSL?

我在ActiveMQ配置中有这个:

<sslContext>
        <sslContext keyStore="file:/home/alex/work/amq/broker.ks"  
 keyStorePassword="password" trustStore="file:${activemq.base}/conf/broker.ts" 
 trustStorePassword="password"/>
</sslContext>

我有一对X.509证书和一个密钥文件。

我如何导入这两个，以便在SSL和SSL+stomp连接器中使用它们?所有的例子，我总能自己生成键，但我已经有一个键了。

我试过了

keytool -import  -keystore ./broker.ks -file mycert.crt

但这只导入证书，而不导入密钥文件，并导致

2009-05-25 13:16:24,270 [localhost:61612] ERROR TransportConnector - Could not accept connection : No available certificate or key corresponds to the SSL cipher suites which are enabled.

我已经尝试连接证书和密钥，但得到相同的结果。

如何导入密钥?

当前回答

只需创建一个PKCS12密钥库，Java现在可以直接使用它了。事实上，如果您列出一个java风格的密钥存储库，keytool本身就会提醒您PKCS12现在是首选格式。

openssl pkcs12 -export -in server.crt -inkey server.key \
               -out server.p12 -name [some-alias] \
               -CAfile ca.crt -caname root -chain

您应该已经收到了所有三个文件(服务器。crt,服务器。密钥，ca.crt)从您的证书提供者。我不确定“-caname root”实际上是什么意思，但它似乎必须这样指定。

在Java代码中，确保指定了正确的密钥库类型。

KeyStore.getInstance("PKCS12")

我通过这种方式在NanoHTTPD中获得了comodo.com颁发的SSL证书。

2018-12-31 16:45:17

其他回答

在椭圆曲线的情况下，回答这个问题，导入一个现有的x509证书和私钥在Java keystore中，你可能也想看看这个线程如何在Java中读取EC私钥。pem文件格式

2019-03-20 21:49:14

是的，keytool没有导入私钥的功能，这确实是一个可悲的事实。

在最后，我使用了这里描述的解决方案

2009-05-26 07:19:56

信不信由你，keytool并没有提供像将私钥导入keystore这样的基本功能。您可以尝试将PKSC12文件与私钥合并到keystore中:

keytool -importkeystore \
  -deststorepass storepassword \
  -destkeypass keypassword \
  -destkeystore my-keystore.jks \
  -srckeystore cert-and-key.p12 \
  -srcstoretype PKCS12 \
  -srcstorepass p12password \
  -alias 1

或者使用IBM的更友好的KeyMan来处理密钥库，而不是keytool。

2009-05-25 17:42:02

Java 6中的Keytool确实具有这种功能:使用Keytool将私钥导入Java密钥存储库

以下是那篇文章的基本细节。

Convert the existing cert to a PKCS12 using OpenSSL. A password is required when asked or the 2nd step will complain. openssl pkcs12 -export -in [my_certificate.crt] -inkey [my_key.key] -out [keystore.p12] -name [new_alias] -CAfile [my_ca_bundle.crt] -caname root Convert the PKCS12 to a Java Keystore File. keytool -importkeystore -deststorepass [new_keystore_pass] -destkeypass [new_key_pass] -destkeystore [keystore.jks] -srckeystore [keystore.p12] -srcstoretype PKCS12 -srcstorepass [pass_used_in_p12_keystore] -alias [alias_used_in_p12_keystore]

2010-01-26 17:26:15

使用Let's Encrypt证书

假设您已经在/etc/letsencrypt/live/you.com中使用Let's Encrypt创建了您的证书和私钥:

1. 创建一个PKCS #12文件

openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out pkcs.p12 \
        -name letsencrypt

这将结合您的SSL证书全链。Pem和您的私钥privkey。Pem到一个文件，pkcs.p12。

系统将提示您输入pkcs.p12的密码。

导出选项指定将创建PKCS #12文件，而不是解析(根据手册)。

2. 创建Java密钥库

keytool -importkeystore -destkeystore keystore.jks -srckeystore pkcs.p12 \
        -srcstoretype PKCS12 -alias letsencrypt

如果密钥存储库。JKS不存在，它将包含pkcs被创建。12文件创建上面。否则，您将导入pkcs。12到现有的密钥存储库中。

这些说明来自本博客上的文章“从Let’s Encrypt Certificates创建Java密钥存储库(. jks)”。

这里有更多关于/etc/letsencrypt/live/ u.com/中不同类型文件的信息。

2019-06-19 11:29:31

如何在Java密钥存储库中导入现有的X.509证书和私钥以用于SSL?

推荐文章

最新文章

标签