我有一个CA颁发的PKCS#7格式的CERT。它内有证书(链接)。 Keytool无法识别PKCS7格式。我已经尝试过OpenSSL工具将PKCS7格式证书转换为PEM格式,但它失败了。我收到错误消息“无法加载PKCS7对象”。
如何将PKCS7证书链导入我的JKS?
答案 0 :(得分:9)
您可以在keytool reference中阅读 -importcert 命令:
从文件cert_file中读取证书或证书链(后者以PKCS#7格式的回复提供),并将其存储在别名标识的密钥库条目中。如果没有给出文件,则从stdin读取证书或PKCS#7回复。
keytool可以导入X.509 v1,v2和v3证书,以及由该类证书组成的PKCS#7格式证书链。
尝试按原样导入PKCS7证书。
尽管如此,它并不总是奏效。如果您遇到问题,请尝试执行以下操作(使用OpenSSL):
将其包含的所有证书打印到PEM文件
OpenSSL> pkcs7 -in initial_file.p7b -inform DER -print_certs -outform PEM -out certs_chain.pem
使用编辑器打开新的PEM文件( certs_chain.pem )并删除-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----边界以外的所有内容(仅保留编码内容)边界,证书本身)并保存。
现在,使用 certs_chain.pem 作为cert_file
答案 1 :(得分:0)
另一种方法是使用IE创建X.509证书。您可以在http://techblog.fywservices.com/2012/10/establishing-weblogic-server-https-trust-of-iis-using-a-microsoft-local-certificate-authority/
中找到有关在WLS和IIS之间进行SSL的文章中的步骤