जावा कुंजी स्टोर में पीईएम आयात करें


144

मैं एक एसएसएल सर्वर से जुड़ने की कोशिश कर रहा हूं जिसके लिए मुझे खुद को प्रमाणित करना होगा। अपाचे MINA पर SSL का उपयोग करने के लिए मुझे एक उपयुक्त JKS फ़ाइल की आवश्यकता है। हालाँकि, मुझे केवल .PEM फ़ाइल दी गई है।

मैं PEM फ़ाइल से JKS फ़ाइल बनाने के बारे में कैसे जाऊँगा?


1
यह लिंक सहायक हो सकता है: http://www.agentbob.info/agentbob/79-AB.html
लॉरेंट के

जवाबों:


235

सबसे पहले, अपने प्रमाणपत्र को डीईआर प्रारूप में परिवर्तित करें:

openssl x509 -outform der -in certificate.pem -out certificate.der

और बाद में, इसे कीस्टोर में आयात करें:

keytool -import -alias your-alias -keystore cacerts -file certificate.der

7
.Pem फ़ाइल में एक से अधिक प्रमाणपत्र होने पर काम नहीं करता है।
मारियोविलास

14
मुझे एक एकल प्रमाणपत्र .pem मिला है और यह काम नहीं करता है। 1795: त्रुटि: 0906D06C: पीईएम दिनचर्या: PEM_read_bio: कोई प्रारंभ रेखा: / usr / src / सुरक्षित / lib / libcrypto /../../..// crypto / / canl / cemo / pem_lib.c: 648: अपेक्षा : प्रमाणित प्रमाण
ब्रायन नोब्लूक

4
मुझे इसका हल मिल गया। रूट और मध्यवर्ती प्रमाणपत्र को .pem पर प्री-पेंड करें, फिर कनवर्ट करें।
ब्रायन नोब्लुच

1
@ एंथनी केवल यह बताता है कि जेकेएस में पीईएम को कैसे आयात किया जाए। स्टोर से जेकेएस निर्यात करने के लिए एक कमांड जोड़ने का एक अच्छा विचार हो सकता है।
विशाल बियाणी

2
अगर मेरे पास .pem पर कई प्रमाणपत्र हैं, तो मैं जावा कीस्टोर के लिए कैसे आयात करूं?
एरिक

55

यदि आप केवल किमोर में PEM प्रारूप में एक प्रमाण पत्र आयात करना चाहते हैं, तो keytool काम करेगा:

keytool -import -alias *alias* -keystore cacerts -file *cert.pem*

11
अगर मैं इस तरह से जाता हूं तो मुझे एक त्रुटि मिलती है: keytool त्रुटि: java.lang.Exception: इनपुट नहीं X.509 प्रमाणपत्र
frandevel

1
@frandevel, यह त्रुटि PEM इनपुट फ़ाइल के कारण हो सकती है, जो हेडर के ऊपर होती है --- BEGIN सीमांकक या एक फ़ाइल या दोनों में कई PEMs होने से। या तो सभी बाहरी डेटा को हटा दें और प्रत्येक PEM में एक समय में एक ही फ़ीड करें या अपने टूल का उपयोग करें, जैसा कि मेरे उत्तर में विस्तृत है।
अलास्टेयर मैककॉर्मैक

धन्यवाद @Fuzzyfelt, मैं उसकी समीक्षा करेंगे
frandevel

1
समान समस्या और .PEM फ़ाइल सभी उपयुक्त हेडर के साथ साफ है।
ब्रायन नोब्लुक

17

मैंने http://code.google.com/p/java-keyutil/ विकसित किया है जो PEM प्रमाणपत्रों को सीधे जावा कीस्टोर में आयात करता है। इसका प्राथमिक उद्देश्य बहु-भाग PEM ऑपरेटिंग सिस्टम प्रमाणपत्र बंडल जैसे ca-bundle.crt को आयात करना है। इनमें अक्सर हेडर शामिल होते हैं, जो किटूल संभाल नहीं सकते हैं

</self promotion>

4
एक खराब खिलौना परियोजना नहीं है, लेकिन keytoolपहले से ही यह सब आपके लिए (और अधिक) करता है। (वैसे, आपको अपना बंद करना चाहिए FileOutputStream, और finallyयदि अपवाद होता है, तो मैं अपना I / O स्ट्रीम बंद कर सकता हूं ।)
ब्रूनो

8
हाय ब्रूनो, सुझावों के लिए धन्यवाद। वास्तविक उपयोग मामला /etc/pki/tls/certs/ca-bundle.crt (RHEL / CentOS) की सभी प्रविष्टियों को एक बार में आयात करना है। AFAIK, keytool केवल पहली प्रविष्टि आयात करेगा। मैंने देखा है कि बहुत से लोग इसे अलग तरह से करते हैं लेकिन इसमें आमतौर पर प्रत्येक सर्टिफिकेट के लिए कई बार कीटल को शामिल करना शामिल होता है। उबंटू में एक अद्यतन स्क्रिप्ट है जो ठीक यही करता है, सिवाय इसके कि उबंटू एक निर्देशिका में अपने सीट्स को संग्रहीत करता है। मैं निकट भविष्य में निर्देशिका के लिए समर्थन जोड़ रहा हूँ। कोड की समीक्षा करने के लिए फिर से धन्यवाद।
एलेस्टर मैककॉर्मैक

14

मेरे मामले में मेरे पास एक पेम फ़ाइल थी जिसमें दो प्रमाणपत्र और एक एन्क्रिप्टेड निजी कुंजी थी जिसे पारस्परिक एसएसएल प्रमाणीकरण में उपयोग किया जाना था। तो मेरी pem फ़ाइल इस तरह दिखी:

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,C8BF220FC76AA5F9

...

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

मैंने जो किया था यह रहा

फ़ाइल को तीन अलग-अलग फ़ाइलों में विभाजित करें, ताकि प्रत्येक में सिर्फ एक प्रविष्टि हो, जो लाइनों के ---BEGIN..साथ शुरू और समाप्त हो ---END..। मान देता है अब हम तीन फ़ाइलें: cert1.pem, cert2.pem, औरpkey.pem

pkey.pemOpensl और निम्न सिंटैक्स का उपयोग कर DER प्रारूप में परिवर्तित करें :

खुलता है pkcs8 -topk8 -nocrypt -in pkey.pem -inform PEM -out pkey.der -outform DER

ध्यान दें, यदि निजी कुंजी एन्क्रिप्ट की गई है, opensslतो आपको डीईआर प्रारूप में बदलने के लिए एक पासवर्ड (मूल पीईएम फ़ाइल के आपूर्तिकर्ता से प्राप्त करें) की आवश्यकता होगी, इस तरह से आपसे पासवर्ड मांगेगा: "एक पासफ़्रेज़ दर्ज करेंpkey.pem :"।

यदि रूपांतरण सफल होता है, तो आपको एक नई फ़ाइल मिल जाएगी pkey.der

एक नया जावा कीस्टोर बनाएं और निजी कुंजी और प्रमाणपत्र आयात करें:

String keypass = "password";  // this is a new password, you need to come up with to protect your java key store file
String defaultalias = "importkey";
KeyStore ks = KeyStore.getInstance("JKS", "SUN");

// this section does not make much sense to me, 
// but I will leave it intact as this is how it was in the original example I found on internet:   
ks.load( null, keypass.toCharArray());
ks.store( new FileOutputStream ( "mykeystore"  ), keypass.toCharArray());
ks.load( new FileInputStream ( "mykeystore" ),    keypass.toCharArray());
// end of section..


// read the key file from disk and create a PrivateKey

FileInputStream fis = new FileInputStream("pkey.der");
DataInputStream dis = new DataInputStream(fis);
byte[] bytes = new byte[dis.available()];
dis.readFully(bytes);
ByteArrayInputStream bais = new ByteArrayInputStream(bytes);

byte[] key = new byte[bais.available()];
KeyFactory kf = KeyFactory.getInstance("RSA");
bais.read(key, 0, bais.available());
bais.close();

PKCS8EncodedKeySpec keysp = new PKCS8EncodedKeySpec ( key );
PrivateKey ff = kf.generatePrivate (keysp);


// read the certificates from the files and load them into the key store:

Collection  col_crt1 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert1.pem"));
Collection  col_crt2 = CertificateFactory.getInstance("X509").generateCertificates(new FileInputStream("cert2.pem"));

Certificate crt1 = (Certificate) col_crt1.iterator().next();
Certificate crt2 = (Certificate) col_crt2.iterator().next();
Certificate[] chain = new Certificate[] { crt1, crt2 };

String alias1 = ((X509Certificate) crt1).getSubjectX500Principal().getName();
String alias2 = ((X509Certificate) crt2).getSubjectX500Principal().getName();

ks.setCertificateEntry(alias1, crt1);
ks.setCertificateEntry(alias2, crt2);

// store the private key
ks.setKeyEntry(defaultalias, ff, keypass.toCharArray(), chain );

// save the key store to a file         
ks.store(new FileOutputStream ( "mykeystore" ),keypass.toCharArray());

(वैकल्पिक) अपने नए कुंजी स्टोर की सामग्री को सत्यापित करें:

$ keytool -list -keystore mykeystore -storepass password

कीस्टोर प्रकार: JKS कीस्टोर प्रदाता: SUN

आपके कीस्टॉर में 3 प्रविष्टियाँ हैं:

  • cn = ..., ou = ..., o = .., 2 सितंबर 2014, TrustCertEntry, प्रमाणपत्र फिंगरप्रिंट (SHA1): 2C: B8: ...

  • importkey, Sep 2, 2014, PrivateKeyEntry, प्रमाणपत्र फिंगरप्रिंट (SHA1): 9C: B0: ...

  • cn = ..., o = ...., Sep 2, 2014, TrustCertEntry, प्रमाणपत्र फिंगरप्रिंट (SHA1): 83,63: ...

(वैकल्पिक) अपने एसएसएल सर्वर के खिलाफ अपने नए कुंजी स्टोर से अपने प्रमाण पत्र और निजी कुंजी का परीक्षण करें: (आप VM विकल्प के रूप में डिबगिंग सक्षम करना चाहते हैं: -Djavax.net.debug = all)

        char[] passw = "password".toCharArray();
        KeyStore ks = KeyStore.getInstance("JKS", "SUN");
        ks.load(new FileInputStream ( "mykeystore" ), passw );

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, passw);

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        TrustManager[] tm = tmf.getTrustManagers();

        SSLContext sclx = SSLContext.getInstance("TLS");
        sclx.init( kmf.getKeyManagers(), tm, null);

        SSLSocketFactory factory = sclx.getSocketFactory();
        SSLSocket socket = (SSLSocket) factory.createSocket( "192.168.1.111", 443 );
        socket.startHandshake();

        //if no exceptions are thrown in the startHandshake method, then everything is fine..

अंत में अपना प्रमाणपत्र HttpsURLConnection के साथ पंजीकृत करें यदि इसका उपयोग करने की योजना है:

        char[] passw = "password".toCharArray();
        KeyStore ks = KeyStore.getInstance("JKS", "SUN");
        ks.load(new FileInputStream ( "mykeystore" ), passw );

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, passw);

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        TrustManager[] tm = tmf.getTrustManagers();

        SSLContext sclx = SSLContext.getInstance("TLS");
        sclx.init( kmf.getKeyManagers(), tm, null);

        HostnameVerifier hv = new HostnameVerifier()
        {
            public boolean verify(String urlHostName, SSLSession session)
            {
                if (!urlHostName.equalsIgnoreCase(session.getPeerHost()))
                {
                    System.out.println("Warning: URL host '" + urlHostName + "' is different to SSLSession host '" + session.getPeerHost() + "'.");
                }
                return true;
            }
        };

        HttpsURLConnection.setDefaultSSLSocketFactory( sclx.getSocketFactory() );
        HttpsURLConnection.setDefaultHostnameVerifier(hv);

आपका होस्टनाम सत्यापनकर्ता गलत है, session.getPeerHost()प्रमाणपत्र में नाम नहीं लौटाता है, लेकिन आपके साथ जुड़ा हुआ नाम (यानी urlHostNameयहां), इसलिए यह हमेशा सही होगा। तुम हमेशा trueवैसे भी लौट रहे हो ।
ब्रूनो

9

यदि आपको बाहरी उपकरणों (ओपनसेल, कीटल) से निपटने के लिए जावा में पीईएम फ़ाइलों को लोड करने के लिए एक आसान तरीका चाहिए , तो यहां मेरा कोड है जो मैं उत्पादन में उपयोग करता हूं:

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.File;
import java.io.FileReader;
import java.io.IOException;
import java.security.KeyFactory;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.PrivateKey;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.interfaces.RSAPrivateKey;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.ArrayList;
import java.util.List;

import javax.net.ssl.KeyManager;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocketFactory;
import javax.xml.bind.DatatypeConverter;

public class PEMImporter {

    public static SSLServerSocketFactory createSSLFactory(File privateKeyPem, File certificatePem, String password) throws Exception {
        final SSLContext context = SSLContext.getInstance("TLS");
        final KeyStore keystore = createKeyStore(privateKeyPem, certificatePem, password);
        final KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(keystore, password.toCharArray());
        final KeyManager[] km = kmf.getKeyManagers();
        context.init(km, null, null);
        return context.getServerSocketFactory();
    }

    /**
     * Create a KeyStore from standard PEM files
     * 
     * @param privateKeyPem the private key PEM file
     * @param certificatePem the certificate(s) PEM file
     * @param the password to set to protect the private key
     */
    public static KeyStore createKeyStore(File privateKeyPem, File certificatePem, final String password)
            throws Exception, KeyStoreException, IOException, NoSuchAlgorithmException, CertificateException {
        final X509Certificate[] cert = createCertificates(certificatePem);
        final KeyStore keystore = KeyStore.getInstance("JKS");
        keystore.load(null);
        // Import private key
        final PrivateKey key = createPrivateKey(privateKeyPem);
        keystore.setKeyEntry(privateKeyPem.getName(), key, password.toCharArray(), cert);
        return keystore;
    }

    private static PrivateKey createPrivateKey(File privateKeyPem) throws Exception {
        final BufferedReader r = new BufferedReader(new FileReader(privateKeyPem));
        String s = r.readLine();
        if (s == null || !s.contains("BEGIN PRIVATE KEY")) {
            r.close();
            throw new IllegalArgumentException("No PRIVATE KEY found");
        }
        final StringBuilder b = new StringBuilder();
        s = "";
        while (s != null) {
            if (s.contains("END PRIVATE KEY")) {
                break;
            }
            b.append(s);
            s = r.readLine();
        }
        r.close();
        final String hexString = b.toString();
        final byte[] bytes = DatatypeConverter.parseBase64Binary(hexString);
        return generatePrivateKeyFromDER(bytes);
    }

    private static X509Certificate[] createCertificates(File certificatePem) throws Exception {
        final List<X509Certificate> result = new ArrayList<X509Certificate>();
        final BufferedReader r = new BufferedReader(new FileReader(certificatePem));
        String s = r.readLine();
        if (s == null || !s.contains("BEGIN CERTIFICATE")) {
            r.close();
            throw new IllegalArgumentException("No CERTIFICATE found");
        }
        StringBuilder b = new StringBuilder();
        while (s != null) {
            if (s.contains("END CERTIFICATE")) {
                String hexString = b.toString();
                final byte[] bytes = DatatypeConverter.parseBase64Binary(hexString);
                X509Certificate cert = generateCertificateFromDER(bytes);
                result.add(cert);
                b = new StringBuilder();
            } else {
                if (!s.startsWith("----")) {
                    b.append(s);
                }
            }
            s = r.readLine();
        }
        r.close();

        return result.toArray(new X509Certificate[result.size()]);
    }

    private static RSAPrivateKey generatePrivateKeyFromDER(byte[] keyBytes) throws InvalidKeySpecException, NoSuchAlgorithmException {
        final PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);
        final KeyFactory factory = KeyFactory.getInstance("RSA");
        return (RSAPrivateKey) factory.generatePrivate(spec);
    }

    private static X509Certificate generateCertificateFromDER(byte[] certBytes) throws CertificateException {
        final CertificateFactory factory = CertificateFactory.getInstance("X.509");
        return (X509Certificate) factory.generateCertificate(new ByteArrayInputStream(certBytes));
    }

}

मज़े करो।


सवाल "एसएसपी से अधिक अपाचे MINA" के बारे में था, जो कि "PEMs फ़ंक्शन से SSLServerSocketFactory" के साथ कॉन्फ़िगर करना सरल है, mina.apache.org/mina-project/userguide/us11-ssl-filter/… देखें ।
BluEOS

8

मैं हमेशा यह भूल जाता हूं कि यह कैसे करना है क्योंकि यह कुछ ऐसा है जो मैं बस एक बार करता हूं, यह एक संभव समाधान है, और यह सिर्फ काम करता है:

  1. अपने पसंदीदा ब्राउज़र पर जाएं और सुरक्षित वेबसाइट से मुख्य प्रमाणपत्र डाउनलोड करें।
  2. कोड की निम्नलिखित दो पंक्तियों को निष्पादित करें:

    $ openssl x509 -outform der -in GlobalSignRootCA.crt -out GlobalSignRootCA.der
    $ keytool -import -alias GlobalSignRootCA -keystore GlobalSignRootCA.jks -file GlobalSignRootCA.der
  3. यदि जावा एसई वातावरण में निष्पादन निम्नलिखित विकल्प जोड़ते हैं:

    $ java -Djavax.net.ssl.trustStore=GlobalSignRootCA.jks -Djavax.net.ssl.trustStorePassword=trustStorePassword -jar MyJar.jar
  4. या जावा कोड में निम्नलिखित जोड़ें:

    System.setProperty("javax.net.ssl.trustStore", "GlobalSignRootCA.jks");
    System.setProperty("javax.net.ssl.trustStorePassword","trustStorePassword");

चरण 2 के लिए अन्य विकल्प सिर्फ keytoolकमांड का उपयोग करना है । प्रमाण पत्र की एक श्रृंखला के साथ Bellow एक उदाहरण है:

$ keytool -import -file org.eu.crt -alias orgcrt -keystore globalsignrs.jks
$ keytool -import -file GlobalSignOrganizationValidationCA-SHA256-G2.crt -alias globalsignorgvalca -keystore globalsignrs.jks
$ keytool -import -file GlobalSignRootCA.crt -alias globalsignrootca -keystore globalsignrs.jks

7

मैंने Keystore एक्सप्लोरर का इस्तेमाल किया

  1. एक निजी कुंजी के साथ जेकेएस खोलें
  2. CA से PEM पर हस्ताक्षरित परीक्षा
  3. आयात कुंजी
  4. JKS सहेजें

3
Keystore एक्सप्लोरर कमाल और बहुत बहुमुखी है। टर्मिनल पर कुछ नासमझ मिनट बिताने से एक समय बचाता है।
TheRealChx101

3

एक GUI उपकरण भी है जो विजुअल JKS निर्माण और प्रमाणपत्र आयात करने की अनुमति देता है।

http://portecle.sourceforge.net/

पोर्टेसेल कीस्टोर्स, कीज, सर्टिफिकेट, सर्टिफिकेट रिक्वेस्ट, सर्टिफिकेट रिवीजन लिस्ट आदि बनाने और मैनेज करने के लिए यूजर फ्रेंडली जीयूआई एप्लीकेशन है।


1
कुंजी स्टोर एक्सप्लोरर पोर्टेक्ले का आधुनिक संस्करण है। उनके मेनू और कार्यक्षमता के बीच कोई अंतर नहीं है।
सेटमैक्स

0

मैंने इसे इंटरनेट से प्राप्त किया। यह pem फ़ाइलों के लिए बहुत अच्छा काम करता है जिसमें कई प्रविष्टियाँ होती हैं।

#!/bin/bash
pemToJks()
{
        # number of certs in the PEM file
        pemCerts=$1
        certPass=$2
        newCert=$(basename "$pemCerts")
        newCert="${newCert%%.*}"
        newCert="${newCert}"".JKS"
        ##echo $newCert $pemCerts $certPass
        CERTS=$(grep 'END CERTIFICATE' $pemCerts| wc -l)
        echo $CERTS
        # For every cert in the PEM file, extract it and import into the JKS keystore
        # awk command: step 1, if line is in the desired cert, print the line
        #              step 2, increment counter when last line of cert is found
        for N in $(seq 0 $(($CERTS - 1))); do
          ALIAS="${pemCerts%.*}-$N"
          cat $pemCerts |
                awk "n==$N { print }; /END CERTIFICATE/ { n++ }" |
                $KEYTOOLCMD -noprompt -import -trustcacerts \
                                -alias $ALIAS -keystore $newCert -storepass $certPass
        done
}
pemToJks <pem to import> <pass for new jks>
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.