现状:
我们使用HTTPS / SSL对某个网址进行POST。为此,我的(前)同事发布了这个问题:Java HTTPS client certificate authentication
基本上我们有.p12格式的密钥库,信任库是.jks文件。
我们无法控制接收POST请求的服务器。
问题:
服务器管理员为我们提供了一些新的.der文件,因为他们的旧证书即将过期。
由于我对SSL证书和keytool以及openssl - 相当陌生,我不知道如何从这里开始。
1)是否有必要生成新的.p12和.jks文件?或者我只需要生成一个新的.jks文件?
2)如何从.der证书生成这些文件?我发现一些网站的keytool/openssl命令最多,但我无法成功生成我需要的内容。
我尝试的最后一个命令(无效)是:
keytool -storepass dsmserver -keystore c:\temp\newkeystore.jks -importcert -alias "c:\temp\newcert.der" -trustcacerts
答案 0 :(得分:2)
等等,哪个证书已过期?如果是他们的,那么就不应该向你发送一个新文件了(毕竟,当stackoverflow.com的SSL证书过期并且他们安装了新证书时,你不必更新你的浏览器)。如果您正在进行相互身份验证(客户端证书身份验证),则涉及四个证书:证书,证书,签署证书的颁发机构的证书以及签署其证书的颁发机构的证书。他们向您发送他们的证书,并且您检查它是否由您信任的证书颁发机构正确签名(这就是信任库所针对的 - 它是您信任的证书颁发机构列表,可以从他们的身边签署证书)。随后,您发送证书并检查它是否由他们信任的证书颁发机构正确签名。 (当然,所有这些都是通过SSL握手程序在JSSE幕后自动完成的)
请记住,证书是(签名的)断言,这样的名称由特定的公钥标识。因此,如果他们的证书已过期,他们将生成一个新证书,由您已经信任的CA签署,并用此证书替换旧证书。当您的软件(自动作为幕后SSL握手的一部分)获得新软件时,它将检查签名者(“发行人”)是谁以及它是否在您的受信任机构列表中(并且已正确签名) )。如果退房,您将自动接受。除非他们正在更改证书颁发机构并且您不相信新的证书颁发机构,否则他们不需要向您发送任何带外事件。如果是这样,您可以使用
keytool -import -keystore <truststore> -file <certificate file> -alias <someca>
另一方面,如果您的证书是过期的证书,那么他们不应该向您发送任何未经请求的证书。相反,您应该通过以下方式生成CSR:
keytool -genkey -alias <myalias> -keystore <keystore>.p12 -storetype pkcs12
keytool -certreq -alias <myalias> -file request.csr -keystore <keystore>.p12 -storetype pkcs12
这将使用新的私钥更新密钥库并创建一个名为“request.csr”的文件,然后您应该将其发送给他们(或发送到其信任库中的CA)以进行签名。他们将使用签名证书进行回复,然后您将使用以下命令将其导入密钥库:
keytool -import -alias <myalias> -file <signed certificate>.cer
如果我不得不猜测,看起来他们试图为你执行这三个步骤,并试图向你发送证书和相应的私钥,这是无效的 - Java将(正确!)尽力停止你是从导入那里导致的,因为当私钥通过不受信任的渠道发送时,它本身就被污染了(电子邮件,我认为?)这违背了PKI的目的 - 除了你以外,没有人能够访问你的私钥。
答案 1 :(得分:1)
从以下链接下载文件:ImportKey.Java
运行以下命令:
javac ImportKey.java
java ImportKey key.der cert.der
- arg1 is your key and arg2 iscertificate.
命令会将您的密钥放入Java密钥库。