Question

我正在构建的Java应用程序的任务之一是连接到远程SFTP服务器。为此，我拥有远程计算机的证书和id_rsa文件夹中的本地标识（id_rsa.pub和.ssh）。这很好。

我希望将证书和身份放在受密码保护的java密钥库中，以便更轻松，更安全地进行配置。我有这个用于证书，但我在将JKS或PKCS12密钥库中存储SSH身份时遇到问题（任何一个都可以工作）。

为了解决问题，我尝试了以下步骤：

我使用ssh-keygen -b 2048在本地目录中创建两个身份文件id_rsa_demo和id_rsa_demo.pub。据我所知，这些是身份的私钥和公钥，所以我尝试将它们组合成identity.p12文件：

openssl pkcs12 -export \
               -inkey "id_rsa_demo" \
               -in "id_rsa_demo.pub" \
               -out "identity.p12" \
               -password "pass:topsecret" \
               -name "demoalias"

这给了我错误unable to load certificates。我四处搜索，似乎openssl希望证书具有-in参数的完整链。由于我生成的身份没有，我尝试了-nocerts选项，如下所示：

openssl pkcs12 -export \
               -inkey "id_rsa_demo" \
               -in "id_rsa_demo.pub" \
               -out "identity.p12" \
               -password "pass:topsecret" \
               -name "demoalias" \
               -nocerts

我没有收到任何错误，但-nocerts选项符合其承诺，并且不会将我的公钥添加到pkcs12文件中：

openssl pkcs12 -info -in identity.p12 

Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
    friendlyName: demoalias
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIAOXpzckBb28CAggA
MBQGCCqGSIb3DQMHBAjPq9ibr445xQSCBMi5IlOk5F28kQPB5D97afiUb5d3It46
...
ejwYfHTj6bm+dEOUk68zNrWwKqwuJx5AZv3U8sm1cicVmh9W0HpL5tSmMMpDS1ey
Uos=
-----END ENCRYPTED PRIVATE KEY-----

有没有办法将SSH身份存储到PKCS12或JKS密钥库中？

Answer 1

假设您有一个如下所示的私钥：

id_rsa

做两件事：

1）创建证书以包装密钥并将公钥公开为证书，以便keytool理解它。

openssl x509 -signkey id_rsa -req -in example.req

2）根据新请求创建自签名证书。

openssl x509 -signkey id_rsa -req -in example.req -out example.cer

然后，combine the certificate and private key，然后导入keytool。

cat example.cer id_rsa > example.full
keytool -import -keystore example.jks -file example.full

这将获得钥匙。利用私钥和公钥以及与您选择的SSH / SFTP库交互是一种练习。

如何将SSH身份文件密钥对添加到JKS密钥库

1 个答案: