如何从密钥库中列出/导出私钥?

时间:2008-09-29 19:07:50

标签: java ssl keystore

如何从密钥库中列出和导出私钥?

9 个答案:

答案 0 :(得分:103)

您可以使用Java6和OpenSSL从密钥库中提取私钥。这完全取决于Java和OpenSSL都支持PKCS#12格式的密钥库。要进行提取,首先使用keytool转换为标准格式。确保 对两个文件使用相同的密码(私钥密码,而不是密钥库密码) ,否则您将在稍后的第二步中遇到奇怪的失败。

keytool -importkeystore -srckeystore keystore.jks \
    -destkeystore intermediate.p12 -deststoretype PKCS12

接下来,使用OpenSSL对PEM进行提取:

openssl pkcs12 -in intermediate.p12 -out extracted.pem -nodes

您应该能够轻松地处理该PEM文件;它是纯文本,带有编码的未加密私钥和证书(以非常明显的格式)。

执行此操作时,请注意保护创建的文件的安全。它们包含秘密凭证。如果您未能正确保护它们,则不会发出任何警告。保护它们的最简单方法是在目录中执行所有这些操作,该目录对用户以外的任何人都没有任何访问权限。永远不要将密码放在命令行或环境变量中;这对其他用户来说太容易了。

答案 1 :(得分:31)

最初来自Example Depot的一部分代码,用于列出密钥库中的所有别名:

    // Load input stream into keystore
    keystore.load(is, password.toCharArray());

    // List the aliases
    Enumeration aliases = keystore.aliases();
    for (; aliases.hasMoreElements(); ) {
        String alias = (String)aliases.nextElement();

        // Does alias refer to a private key?
        boolean b = keystore.isKeyEntry(alias);

        // Does alias refer to a trusted certificate?
        b = keystore.isCertificateEntry(alias);
    }

几个月前Sun forums出现了私钥的导出,u:turingcompleter提出了一个DumpPrivateKey类来拼接你的应用程序。

import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;
import sun.misc.BASE64Encoder;

public class DumpPrivateKey {
     /**
     * Provides the missing functionality of keytool
     * that Apache needs for SSLCertificateKeyFile.
     *
     * @param args  <ul>
     *              <li> [0] Keystore filename.
     *              <li> [1] Keystore password.
     *              <li> [2] alias
     *              </ul>
     */
    static public void main(String[] args)
    throws Exception {
        if(args.length < 3) {
          throw new IllegalArgumentException("expected args: Keystore filename, Keystore password, alias, <key password: default same tha
n keystore");
        }
        final String keystoreName = args[0];
        final String keystorePassword = args[1];
        final String alias = args[2];
        final String keyPassword = getKeyPassword(args,keystorePassword);
        KeyStore ks = KeyStore.getInstance("jks");
        ks.load(new FileInputStream(keystoreName), keystorePassword.toCharArray());
        Key key = ks.getKey(alias, keyPassword.toCharArray());
        String b64 = new BASE64Encoder().encode(key.getEncoded());
        System.out.println("-----BEGIN PRIVATE KEY-----");
        System.out.println(b64);
        System.out.println("-----END PRIVATE KEY-----");
    }
    private static String getKeyPassword(final String[] args, final String keystorePassword)
    {
       String keyPassword = keystorePassword; // default case
       if(args.length == 4) {
         keyPassword = args[3];
       }
       return keyPassword;
    }
}

注意:这使用Sun软件包which is a "bad thing" 如果您可以下载apache commons code,这是一个将在没有警告的情况下编译的版本:

javac -classpath .:commons-codec-1.4/commons-codec-1.4.jar DumpPrivateKey.java

并将给出相同的结果:

import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;
//import sun.misc.BASE64Encoder;
import org.apache.commons.codec.binary.Base64;

public class DumpPrivateKey {
     /**
     * Provides the missing functionality of keytool
     * that Apache needs for SSLCertificateKeyFile.
     *
     * @param args  <ul>
     *              <li> [0] Keystore filename.
     *              <li> [1] Keystore password.
     *              <li> [2] alias
     *              </ul>
     */
    static public void main(String[] args)
    throws Exception {
        if(args.length < 3) {
          throw new IllegalArgumentException("expected args: Keystore filename, Keystore password, alias, <key password: default same tha
n keystore");
        }
        final String keystoreName = args[0];
        final String keystorePassword = args[1];
        final String alias = args[2];
        final String keyPassword = getKeyPassword(args,keystorePassword);
        KeyStore ks = KeyStore.getInstance("jks");
        ks.load(new FileInputStream(keystoreName), keystorePassword.toCharArray());
        Key key = ks.getKey(alias, keyPassword.toCharArray());
        //String b64 = new BASE64Encoder().encode(key.getEncoded());
        String b64 = new String(Base64.encodeBase64(key.getEncoded(),true));
        System.out.println("-----BEGIN PRIVATE KEY-----");
        System.out.println(b64);
        System.out.println("-----END PRIVATE KEY-----");
    }
    private static String getKeyPassword(final String[] args, final String keystorePassword)
    {
       String keyPassword = keystorePassword; // default case
       if(args.length == 4) {
         keyPassword = args[3];
       }
       return keyPassword;
    }
}

您可以像这样使用它:

java -classpath .:commons-codec-1.4/commons-codec-1.4.jar DumpPrivateKey $HOME/.keystore changeit tomcat

答案 2 :(得分:6)

如果您不需要以编程方式执行此操作,但只想管理密钥,那么我已经使用IBM的免费KeyMan工具了很长时间。非常适合将私钥导出到PFX文件(然后您可以轻松地使用OpenSSL来操作它,提取它,更改pwds等)。

https://www.ibm.com/developerworks/mydeveloperworks/groups/service/html/communityview?communityUuid=6fb00498-f6ea-4f65-bf0c-adc5bd0c5fcc

选择您的密钥库,选择私钥条目,然后选择文件 - >保存到pkcs12文件(通常为* .pfx)。然后,您可以使用以下方式查看内容:

$ openssl pkcs12 -in mykeyfile.pfx -info

答案 3 :(得分:5)

这是Groovy中上述代码的较短版本。还有内置的base64编码:

import java.security.Key
import java.security.KeyStore

if (args.length < 3)
        throw new IllegalArgumentException('Expected args: <Keystore file> <Keystore format> <Keystore password> <alias> <key password>')

def keystoreName = args[0]
def keystoreFormat = args[1]
def keystorePassword = args[2]
def alias = args[3]
def keyPassword = args[4]

def keystore = KeyStore.getInstance(keystoreFormat)
keystore.load(new FileInputStream(keystoreName), keystorePassword.toCharArray())
def key = keystore.getKey(alias, keyPassword.toCharArray())

println "-----BEGIN PRIVATE KEY-----"
println key.getEncoded().encodeBase64()
println "-----END PRIVATE KEY-----"

答案 4 :(得分:4)

对于android开发, 将在eclipse ADT中创建的密钥库转换为SignApk.jar中使用的公钥和私钥:

导出私钥:

keytool.exe -importkeystore -srcstoretype JKS -srckeystore my-release-key.keystore -deststoretype PKCS12 -destkeystore keys.pk12.der
openssl.exe pkcs12 -in keys.pk12.der -nodes -out private.rsa.pem

编辑private.rsa.pem并将“----- BEGIN PRIVATE KEY -----”留给“----- END PRIVATE KEY -----”段落,然后:

openssl.exe base64 -d -in private.rsa.pem -out private.rsa.der

导出公钥:

keytool.exe -exportcert -keystore my-release-key.keystore -storepass <KEYSTORE_PASSWORD> -alias alias_name -file public.x509.der

签署apk:

java -jar SignApk.jar public.x509.der private.rsa.der input.apk output.apk

答案 5 :(得分:4)

这个问题出现在stackexchange安全性上,其中一个建议是使用Keystore explorer

https://security.stackexchange.com/questions/3779/how-can-i-export-my-private-key-from-a-java-keytool-keystore

刚试过它,效果非常好,我强烈推荐它。

答案 6 :(得分:3)

首先,要小心!您的所有安全性都取决于私钥的...... er ... 隐私 Keytool没有内置密钥导出功能,以避免意外泄露此敏感资料,因此您可能需要考虑一些额外的保护措施,以保护您的导出密钥。

这是一些简单的代码,它为您提供OpenSSL可以使用的未加密的PKCS#8 PrivateKeyInfo(请参阅其pkcs8 utility-nocrypt选项):

KeyStore keys = ...
char[] password = ...
Enumeration<String> aliases = keys.aliases();
while (aliases.hasMoreElements()) {
  String alias = aliases.nextElement();
  if (!keys.isKeyEntry(alias))
    continue;
  Key key = keys.getKey(alias, password);
  if ((key instanceof PrivateKey) && "PKCS#8".equals(key.getFormat())) {
    /* Most PrivateKeys use this format, but check for safety. */
    try (FileOutputStream os = new FileOutputStream(alias + ".key")) {
      os.write(key.getEncoded());
      os.flush();
    }
  }
}

如果您需要其他格式,可以使用KeyFactory为不同类型的密钥获取透明密钥规范。然后,您可以获得RSA私钥的私有指数,并以所需格式输出。这将成为后续问题的一个好主题。

答案 7 :(得分:3)

另一个很棒的工具是KeyStore Explorer:http://keystore-explorer.sourceforge.net/

答案 8 :(得分:1)

另一种不那么传统但可以说更简单的方法是使用JXplorer。尽管此工具旨在浏览LDAP目录,但它具有易于使用的GUI来操作密钥库。 GUI上的一个这样的功能可以从JKS密钥库导出私钥。