Как я могу импортировать сертификат SHA1 в хранилище ключей как тип PrivateKeyEntry, а не trustCertEntry

Question

У меня есть файл Jks (key.jks), в котором существуют существующие сертификаты SHA1 (server.cer) с псевдонимом ab c. Срок действия сертификата истек, и я должен возобновить его с новыми сертификатами, которые я получил , Предыдущая запись была с типом записи PrivateKeyEntry . Я удалил старую запись, и я пытаюсь импортировать новые сертификаты, используя команду импорта keytool, она всегда добавляет entryType как trustedCertEntry из-за что рукопожатие терпит неудачу. Я использую команду ниже.

keytool -import -keystore key.jks -storepass changeit -alias ab c -file server.cer

How Могу ли я добавить эти сертификаты как тип PrivateKeyEntry. Я использую тот же псевдоним, который использовался со старым сертификатом. Любая помощь очень ценится

Answer 1

A PrivateKeyEntry на самом деле является «парой ключей» из 3 частей. Закрытый ключ, открытый ключ c и сертификат. Сертификат может быть самоподписанным или подписанным другим объектом (доверенный центр сертификации - CA).

A trustedCertEntry является только сертификатом с назначенным открытым ключом c (без закрытого ключа). ).

Когда срок действия сертификата истекает, вы можете создать новую пару ключей, запрос подписи сертификата (csr), а когда центр сертификации выдает новый сертификат, вы можете импортировать ответ сертификата.

Иногда ЦС может выдать новый сертификат для того же ключа publi c, поэтому вам просто нужно импортировать ответ.

Импортировать сертификат (ответ) - вы действительно справились со второй частью. Если вы импортируете сертификат, и пара ключей уже существует (PrivateKeyEntry), keytool проверяет, соответствует ли сертификат ключу publi c, а затем заменяет старый сертификат новым, сохраняя закрытый ключ.

Проблема в том, что вы удалили свой закрытый ключ . Я надеюсь, у вас есть резервная копия. Если нет, я бы предложил создать новую пару ключей и запросить новый сертификат.