Как импортировать сертификат.cer в хранилище ключей Java?

Question

Как импортировать сертификат.cer в хранилище ключей Java?

Во время разработки клиента веб-сервиса Java я столкнулся с проблемой. Аутентификация для веб-сервиса использует сертификат клиента, имя пользователя и пароль. Клиентский сертификат, полученный от компании за веб-сервисом, находится в .cer формат. Когда я проверяю файл с помощью текстового редактора, он имеет следующее содержимое:

-----BEGIN CERTIFICATE-----
[Some base64 encoded data]
-----END CERTIFICATE-----

Я могу импортировать этот файл в качестве сертификата в Internet Explorer (без необходимости ввода пароля!) И использовать его для аутентификации в веб-сервисе.

Мне удалось импортировать этот сертификат в хранилище ключей, сначала обрезав первую и последнюю строку, преобразовав в unix новые строки и выполнив base64-декодирование. Полученный файл можно импортировать в хранилище ключей (используя keytool команда). Когда я перечисляю записи в хранилище ключей, эта запись имеет тип trustedCertEntry, Из-за этого типа записи (?) Я не могу использовать этот сертификат для аутентификации в веб-сервисе. Я начинаю думать, что предоставленный сертификат является публичным сертификатом, который используется для аутентификации...

Обходной путь, который я нашел, состоит в том, чтобы импортировать сертификат в IE и экспортировать его как .pfx файл. Этот файл может быть загружен как хранилище ключей и может использоваться для проверки подлинности с помощью веб-службы. Однако я не могу ожидать, что мои клиенты будут выполнять эти шаги каждый раз, когда они получают новый сертификат. Поэтому я хотел бы загрузить .cer файл прямо в Java. Какие-нибудь мысли?

Дополнительная информация: компания, стоящая за веб-сервисом, сказала мне, что сертификат следует запрашивать (используя IE и веб-сайт) с ПК и пользователя, который позже импортирует сертификат.

310

java certificate keystore

Источник

user526579 01 дек '10 в 14:18

10 ответов

Решение

Импорт .cer файл сертификата, загруженный из браузера (откройте URL-адрес и найдите подробности) в хранилище ключей cacerts в java_home\jre\lib\security работал для меня, в отличие от попыток создать и использовать мое собственное хранилище ключей.

Перейти к вашей java_home\jre\lib\security
(Windows) Откройте там командную строку администратора, используя cmd и CTRL+SHIFT+ВВОД
Запустите keytool для импорта сертификата:
- (Заменить yourAliasName а также path\to\certificate.cer соответственно)

 ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias yourAliasName -file path\to\certificate.cer

Таким образом, вам не нужно указывать какие-либо дополнительные параметры JVM, и сертификат должен быть распознан JRE.

150

Источник

user632293 13 янв '15 в 17:43

Вот код, который я использовал для программного импорта.cer файлов в новый KeyStore.

import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
//VERY IMPORTANT.  SOME OF THESE EXIST IN MORE THAN ONE PACKAGE!
import java.security.GeneralSecurityException;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;

//Put everything after here in your function.
KeyStore trustStore  = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);//Make an empty store
InputStream fis = /* insert your file path here */;
BufferedInputStream bis = new BufferedInputStream(fis);

CertificateFactory cf = CertificateFactory.getInstance("X.509");

while (bis.available() > 0) {
    Certificate cert = cf.generateCertificate(bis);
    trustStore.setCertificateEntry("fiddler"+bis.available(), cert);
}

67

Источник

user1035398 17 сен '12 в 05:49

Вам не нужно вносить какие-либо изменения в сертификат. Вы уверены, что используете правильную команду импорта?

Следующие работы для меня:

keytool -import -alias joe -file mycert.cer -keystore mycerts -storepass changeit

где mycert.cer содержит:

28

Источник

user7412 01 дек '10 в 14:53

Инструмент с открытым исходным кодом GUI доступен на http://keystore-explorer.org/index.html

KeyStore Explorer
KeyStore Explorer - это замена графического интерфейса с открытым исходным кодом для утилит командной строки Java keytool и jarsigner. KeyStore Explorer представляет их функциональность и многое другое через интуитивно понятный графический интерфейс пользователя.

Помогут следующие экраны (они с официального сайта)

Экран по умолчанию, который вы получите, выполнив команду:

shantha@shantha:~$./Downloads/kse-521/kse.sh

И перейти к Examine а также Examine a URL вариант, а затем укажите веб-URL, который вы хотите импортировать.

Окно результатов будет, как показано ниже, если вы дадите ссылку на сайт Google.

Это один из вариантов использования, а остальное зависит от пользователя (все кредиты идут на http://keystore-explorer.org/).

20

Источник

user408349 27 ноя '17 в 06:41

Сертификат, который у вас уже есть, - это, вероятно, сертификат сервера или сертификат, используемый для подписи сертификата сервера. Он понадобится вам, чтобы ваш клиент веб-службы мог аутентифицировать сервер.

Но если дополнительно вам необходимо выполнить аутентификацию клиента с помощью SSL, то вам необходимо получить собственный сертификат для аутентификации клиента веб-службы. Для этого вам необходимо создать запрос на сертификат; Процесс включает в себя создание собственного закрытого ключа и соответствующего открытого ключа, а также присоединение этого открытого ключа вместе с частью вашей информации (адрес электронной почты, имя, доменное имя и т. д.) к файлу, который называется запросом сертификата. Затем вы отправляете этот запрос на сертификат в компанию, которая уже попросила его, и они создадут ваш сертификат, подписав ваш открытый ключ своим закрытым ключом, и отправят вам обратно файл X509 с вашим сертификатом, который вы можете добавьте его в хранилище ключей, и вы будете готовы подключиться к веб-службе с использованием SSL, требующего аутентификации клиента.

Чтобы сгенерировать запрос сертификата, используйте "keytool -certreq -alias -file -keypass -keystore ". Отправьте полученный файл в компанию, которая собирается его подписать.

Когда вы вернете свой сертификат, запустите "keytool -importcert -alias -keypass -keystore ".

Вам может понадобиться использовать -storepass в обоих случаях, если хранилище ключей защищено (что является хорошей идеей).

8

Источник

user10165 01 дек '10 в 16:21

Вот скрипт, который я использовал для пакетного импорта нескольких файлов crt из текущего каталога в хранилище ключей java. Просто сохраните его в той же папке, что и ваш сертификат, и запустите его так:

./import_all_certs.sh

import_all_certs.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

7

Источник

user26510 02 мар '17 в 18:47

Вот как это работает для меня:

Сохранить как.txt данные сертификата в следующем формате в текстовом редакторе
----- НАЧАТЬ СЕРТИФИКАТ ----- [данные, сериализованные Microsoft] ----- КОНЕЦ СЕРТИФИКАТА -----
Откройте браузер Chrome (этот шаг может работать и в других браузерах) настройки> показать дополнительные настройки> HTTPS/SSL > управлять сертификатами Импортировать.txt в шаге 1
Выберите и экспортируйте этот сертификат в формате Base-64. Сохранить как.cer
Теперь вы можете использовать keytool или Portecle для импорта в хранилище ключей Java.

2

Источник

user5150013 25 сен '15 в 19:40

Хотя было предоставлено много хороших ответов, я хочу дать альтернативу программной загрузке материала ssl. Вы можете попробовать следующий фрагмент:

      Path certificatePath = Paths.get("/path/to/certificate.cer");
List<Certificate> certificates = CertificateUtils.loadCertificate(certificatePath);

SSLFactory sslFactory = SSLFactory.builder()
        .withTrustMaterial(certificates)
        .build();

SSLContext sslContext = sslFactory.getSslContext();

Он может обрабатывать файлы в формате pem, der (двоичные) и p7b. Этот пример фрагмента кода взят из библиотеки: GitHub - SSLContext Kickstart Вы можете добавить его с помощью следующего фрагмента:

      <dependency>
    <groupId>io.github.hakky54</groupId>
    <artifactId>sslcontext-kickstart</artifactId>
    <version>7.0.2</version>
</dependency>

1

Источник

user6777695 25 окт '21 в 00:28

Легкое извлечение сертификата сервера можно выполнить с помощью InstallCert2 .

Для установки сертификата сервера в хранилище ключей Java вы можете использовать любой из приведенных выше примеров keytool.

0

Источник

user2274819 18 июн '23 в 17:03

Другие вопросы по тегам java certificate keystore

user269454 01 дек '10 в 16:10 2010-12-01 16:10 · Accepted Answer · 2010-12-01 16:10

Если вы хотите пройти аутентификацию, вам нужен закрытый ключ - другого варианта нет.
Сертификат - это открытый ключ с дополнительными свойствами (например, название компании, страна,...), который подписан неким центром сертификации, который гарантирует, что присоединенные свойства являются истинными.
.CER файлы являются сертификатами и не имеют закрытого ключа. Закрытый ключ предоставляется с .PFX keystore файл нормально. Если вы действительно аутентифицируетесь, это потому что вы уже импортировали закрытый ключ.
Вы обычно можете импортировать .CER сертификаты без проблем с
```
keytool -importcert -file certificate.cer -keystore keystore.jks -alias "Alias" 
```