使用KeyTool命令将PKCS7(链式证书)导入JKS

时间:2013-04-04 14:48:07

标签: certificate keytool pkcs#7 jks

我有一个CA颁发的PKCS#7格式的CERT。它内有证书(链接)。 Keytool无法识别PKCS7格式。我已经尝试过OpenSSL工具将PKCS7格式证书转换为PEM格式,但它失败了。我收到错误消息“无法加载PKCS7对象”。

如何将PKCS7证书链导入我的JKS?

2 个答案:

答案 0 :(得分:9)

您可以在keytool reference中阅读 -importcert 命令:

  

从文件cert_file中读取证书或证书链(后者以PKCS#7格式的回复提供),并将其存储在别名标识的密钥库条目中。如果没有给出文件,则从stdin读取证书或PKCS#7回复。

     

keytool可以导入X.509 v1,v2和v3证书,以及由该类证书组成的PKCS#7格式证书链。

尝试按原样导入PKCS7证书。

尽管如此,它并不总是奏效。如果您遇到问题,请尝试执行以下操作(使用OpenSSL):

  1. 将其包含的所有证书打印到PEM文件

    OpenSSL> pkcs7 -in initial_file.p7b -inform DER -print_certs -outform PEM -out certs_chain.pem

  2. 使用编辑器打开新的PEM文件( certs_chain.pem )并删除-----BEGIN CERTIFICATE----------END CERTIFICATE-----边界以外的所有内容(仅保留编码内容)边界,证书本身)并保存。

  3. 现在,使用 certs_chain.pem 作为cert_file

    ,keytool应该没有问题导入您的证书

答案 1 :(得分:0)

另一种方法是使用IE创建X.509证书。您可以在http://techblog.fywservices.com/2012/10/establishing-weblogic-server-https-trust-of-iis-using-a-microsoft-local-certificate-authority/

中找到有关在WLS和IIS之间进行SSL的文章中的步骤