Jak zaimportować certyfikat. cer do keystore java?

Importowanie pliku certyfikatu .cer pobranego z przeglądarki (otwórz adres url i wykop po szczegóły) do cacerts keystore w java_home\jre\lib\security zadziałało dla mnie, w przeciwieństwie do prób generowania i używania własnego keystore.

1. idź do swojego java_home\jre\lib\security
2. (Windows ) Otwórz tam wiersz poleceń administratora używając cmd i CTRL+SHIFT+ENTER
3. Uruchom keytool, aby zaimportować certyfikat:
   • (Zastąp yourAliasName i path\to\certificate.cer odpowiednio)

 ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias yourAliasName -file path\to\certificate.cer

W ten sposób nie musisz podawać żadnych dodatkowych opcji JVM, a certyfikat powinien być rozpoznawany przez JRE.

Oto kod, którego używałem do programowego importowania .cer pliki do nowego KeyStore.

import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
//VERY IMPORTANT.  SOME OF THESE EXIST IN MORE THAN ONE PACKAGE!
import java.security.GeneralSecurityException;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;

//Put everything after here in your function.
KeyStore trustStore  = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);//Make an empty store
InputStream fis = /* insert your file path here */;
BufferedInputStream bis = new BufferedInputStream(fis);

CertificateFactory cf = CertificateFactory.getInstance("X.509");

while (bis.available() > 0) {
    Certificate cert = cf.generateCertificate(bis);
    trustStore.setCertificateEntry("fiddler"+bis.available(), cert);
}

Nie należy wprowadzać żadnych zmian w certyfikacie. Czy na pewno uruchamiasz odpowiednie polecenie importu?

Dla mnie działa:

keytool -import -alias joe -file mycert.cer -keystore mycerts -storepass changeit

Gdzie mycert.cer zawiera:

-----BEGIN CERTIFICATE-----
MIIFUTCCBDmgAwIBAgIHK4FgDiVqczANBgkqhkiG9w0BAQUFADCByjELMAkGA1UE
BhMCVVMxEDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAY
...
RLJKd+SjxhLMD2pznKxC/Ztkkcoxaw9u0zVPOPrUtsE/X68Vmv6AEHJ+lWnUaWlf
zLpfMEvelFPYH4NT9mV5wuQ1Pgurf/ydBhPizc0uOCvd6UddJS5rPfVWnuFkgQOk
WmD+yvuojwsL38LPbtrC8SZgPKT3grnLwKu18nm3UN2isuciKPF2spNEFnmCUWDc
MMicbud3twMSO6Zbm3lx6CToNFzP
-----END CERTIFICATE-----

Certyfikat, który już posiadasz, jest prawdopodobnie certyfikatem serwera lub certyfikatem używanym do podpisania certyfikatu serwera. Będziesz go potrzebował, aby klient usługi internetowej mógł uwierzytelnić serwer.

Ale jeśli dodatkowo musisz wykonać uwierzytelnianie klienta za pomocą SSL, musisz uzyskać własny certyfikat, aby uwierzytelnić klienta usługi internetowej. W tym celu należy utworzyć żądanie certyfikatu; proces polega na stworzeniu własnego klucza prywatnego, a odpowiedni klucz publiczny i dołączenie tego klucza publicznego wraz z niektórymi informacjami (e-mail, nazwa, nazwa domeny itp.) do pliku o nazwie żądanie certyfikatu. Następnie wyślesz żądanie certyfikatu do firmy, która już Cię o to poprosiła, a ona utworzy twój certyfikat, podpisując Twój klucz publiczny swoim kluczem prywatnym, a oni odeślą Ci plik X509 z Twoim certyfikatem, który możesz teraz dodać do magazynu keystore, a Ty będziesz gotowy do połączenia się z usługą internetową za pomocą SSL wymagający uwierzytelniania klienta.

Aby wygenerować żądanie certyfikatu, użyj "keytool-certreq-alias-file-keypass-keystore". Wyślij plik wynikowy do firmy, która go podpisze.

Kiedy odzyskasz certyfikat, Uruchom "keytool-importcert-alias-keypass-keystore".

Może być konieczne użycie -storepass w obu przypadkach, jeśli keystore jest chroniony (co jest dobrym pomysłem).

Open source GUI narzędzie jest dostępne na keystore-explorer.org

Keystore Explorer

Keystore Explorer jest open source ' owym zamiennikiem GUI dla Javy narzędzia wiersza poleceń keytool i jarsigner. Keystore Explorer prezentuje ich funkcjonalność i nie tylko dzięki intuicyjnej grafice interfejs użytkownika.

Następujące ekrany pomogą (są z oficjalnej strony)

Domyślny ekran, który otrzymujesz uruchamiając polecenie:

shantha@shantha:~$./Downloads/kse-521/kse.sh

I przejdź do opcji Examine i Examine a URL, a następnie podaj adres internetowy, który chcesz zaimportować.

Okno wyników będzie jak poniżej, jeśli podasz link do strony google.

Jest to jeden z przypadków użycia, a reszta zależy od użytkownika (wszystkie kredyty idą do keystore-explorer.org )

Oto skrypt, którego użyłem do importowania wsadowego kilku plików crt w bieżącym katalogu do klucza java. Po prostu zapisz to w tym samym folderze co certyfikat i uruchom go w ten sposób:

./import_all_certs.sh

Import_all_certs.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

Oto jak to działa dla mnie:

1. Zapisz jako .txt dane certyfikatu w następującym formacie w edytorze tekstu

   -----CERTYFIKAT BEGIN----- [dane serializowane przez microsoft] ----- CERTYFIKAT KOŃCOWY - - - - -

2. Otwórz przeglądarkę chrome (ten krok może działać również w innych przeglądarkach) Ustawienia > Pokaż ustawienia zaawansowane > HTTPS / SSL > Zarządzaj certyfikatami Importuj .txt w kroku 1
3. Wybierz i wyeksportuj ten certyfikat w zakodowanym formacie Base-64. Save it as .cer
4. Teraz możesz użyć keytool lub Portecle, aby zaimportować go do keystore java