Как импортировать сертификат .cer в хранилище ключей Java?

Question

Во время разработки клиента веб-сервиса Java я столкнулся с проблемой.Аутентификация для веб-службы использует сертификат клиента, имя пользователя и пароль.Клиентский сертификат, полученный от компании за веб-сервисом, имеет формат .cer.Когда я проверяю файл в текстовом редакторе, он имеет следующее содержимое:

-----BEGIN CERTIFICATE-----
[Some base64 encoded data]
-----END CERTIFICATE-----

Я могу импортировать этот файл в качестве сертификата в Internet Explorer (без необходимости ввода пароля!) И использовать его для аутентификациис веб-сервисом.

Мне удалось импортировать этот сертификат в хранилище ключей, предварительно обрезав первую и последнюю строки, преобразовав их в символы новой строки unix и выполнив base64-декодирование.Полученный файл можно импортировать в хранилище ключей (с помощью команды keytool).Когда я перечисляю записи в хранилище ключей, эта запись имеет тип trustedCertEntry.Из-за этого типа записи (?) Я не могу использовать этот сертификат для аутентификации в веб-сервисе.Я начинаю думать, что предоставленный сертификат является общедоступным сертификатом, который используется для проверки подлинности ...

Обходное решение, которое я нашел, заключается в том, чтобы импортировать сертификат в IE и экспортировать его как .pfx файл.,Этот файл может быть загружен как хранилище ключей и может использоваться для аутентификации с помощью веб-службы.Однако я не могу ожидать, что мои клиенты будут выполнять эти шаги каждый раз, когда они получают новый сертификат.Поэтому я хотел бы загрузить файл .cer непосредственно в Java.Есть какие-нибудь мысли?

Дополнительная информация: компания, стоящая за веб-службой, сказала мне, что сертификат следует запрашивать (используя IE и веб-сайт) с ПК и пользователя, который позже импортирует сертификат.

Answer 1

• Если вы хотите аутентифицироваться, вам нужен закрытый ключ - другого варианта нет.
• Сертификат - это открытый ключ с дополнительными свойствами (такими как название компании, страна, ...), которыеподписан неким центром сертификации, который гарантирует, что присоединенные свойства имеют значение true.
• .CER файлы являются сертификатами и не имеют закрытого ключа.Закрытый ключ обычно предоставляется с файлом .PFX keystore.Если вы действительно проходите аутентификацию, это потому что вы уже импортировали закрытый ключ.

• Обычно вы можете импортировать .CER сертификаты без проблем с

  keytool -importcert -file certificate.cer -keystore keystore.jks -alias "Alias" 
  

Answer 2

Импорт .cer файла сертификата, загруженного из браузера (откройте URL и копайте подробности) в cacerts хранилище ключей в java_home\jre\lib\security, работал для меня, в отличие от попыток создать и использовать мое собственное хранилище ключей.

1. Перейти к вашему java_home\jre\lib\security
2. ( Windows ) Откройте там командную строку администратора, используя cmd и CTRL + SHIFT + ENTER
3. Запустите keytool для импорта сертификата:
   • (заменить yourAliasName и path\to\certificate.cer соответственно)

 ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias yourAliasName -file path\to\certificate.cer

Таким образом, вам не нужно указывать какие-либо дополнительные параметры JVM, и JRE должен признать сертификат.

Answer 3

Вот код, который я использовал для программного импорта .cer файлов в новый KeyStore.

import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
//VERY IMPORTANT.  SOME OF THESE EXIST IN MORE THAN ONE PACKAGE!
import java.security.GeneralSecurityException;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;

//Put everything after here in your function.
KeyStore trustStore  = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);//Make an empty store
InputStream fis = /* insert your file path here */;
BufferedInputStream bis = new BufferedInputStream(fis);

CertificateFactory cf = CertificateFactory.getInstance("X.509");

while (bis.available() > 0) {
    Certificate cert = cf.generateCertificate(bis);
    trustStore.setCertificateEntry("fiddler"+bis.available(), cert);
}

Answer 4

Вам не нужно вносить какие-либо изменения в сертификат. Вы уверены, что используете правильную команду импорта?

У меня работает следующее:

keytool -import -alias joe -file mycert.cer -keystore mycerts -storepass changeit

где mycert.cer содержит:

-----BEGIN CERTIFICATE-----
MIIFUTCCBDmgAwIBAgIHK4FgDiVqczANBgkqhkiG9w0BAQUFADCByjELMAkGA1UE
BhMCVVMxEDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAY
...
RLJKd+SjxhLMD2pznKxC/Ztkkcoxaw9u0zVPOPrUtsE/X68Vmv6AEHJ+lWnUaWlf
zLpfMEvelFPYH4NT9mV5wuQ1Pgurf/ydBhPizc0uOCvd6UddJS5rPfVWnuFkgQOk
WmD+yvuojwsL38LPbtrC8SZgPKT3grnLwKu18nm3UN2isuciKPF2spNEFnmCUWDc
MMicbud3twMSO6Zbm3lx6CToNFzP
-----END CERTIFICATE-----

Answer 5

Инструмент с открытым исходным кодом GUI доступен на keystore-explorer.org

KeyStore Explorer

KeyStore Explorer - замена графического интерфейса с открытым исходным кодом для Java утилиты командной строки keytool и jarsigner. KeyStore Explorer представляет их функциональность и многое другое с помощью интуитивно понятного графического пользовательский интерфейс.

Следующие экраны помогут (они с официального сайта)

Экран по умолчанию, который вы получаете, выполнив команду:

shantha@shantha:~$./Downloads/kse-521/kse.sh

И перейдите к опциям Examine и Examine a URL, а затем укажите веб-URL, который вы хотите импортировать.

Окно результатов будет таким, как показано ниже, если вы дадите ссылку на сайт Google.

Это один из вариантов использования, а остальное зависит от пользователя (все кредиты идут на keystore-explorer.org )

Answer 6

Сертификат, который у вас уже есть, - это, вероятно, сертификат сервера или сертификат, используемый для подписи сертификата сервера.Он понадобится вам для того, чтобы ваш клиент веб-службы мог аутентифицировать сервер.

Но если дополнительно вам необходимо выполнить аутентификацию клиента с помощью SSL, вам необходимо получить собственный сертификат для аутентификации клиента веб-службы.Для этого вам необходимо создать запрос на сертификат;этот процесс включает в себя создание собственного закрытого ключа и соответствующего открытого ключа, а также присоединение этого открытого ключа вместе с частью вашей информации (адрес электронной почты, имя, доменное имя и т. д.) к файлу, который называется запросом сертификата.Затем вы отправляете этот запрос на сертификат в компанию, которая уже попросила его, и они создадут ваш сертификат, подписав ваш открытый ключ своим закрытым ключом, и отправят вам обратно файл X509 с вашим сертификатом, который вы можетедобавьте его в хранилище ключей, и вы будете готовы к подключению к веб-службе с использованием SSL, требующего аутентификации клиента.

Чтобы сгенерировать запрос сертификата, используйте «keytool -certreq -alias -file -keypass -keystore»,Отправьте полученный файл в компанию, которая собирается его подписать.

Когда вы вернете свой сертификат, запустите "keytool -importcert -alias -keypass -keystore".

Возможно, вам понадобится использовать-препарат в обоих случаях, если хранилище ключей защищено (что является хорошей идеей).

Answer 7

Вот скрипт, который я использовал для пакетного импорта набора файлов crt из текущего каталога в хранилище ключей java.Просто сохраните его в той же папке, что и ваш сертификат, и запустите его так:

./import_all_certs.sh

import_all_certs.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

Answer 8

Вот как это работает для меня:

1. Сохранить как .txt данные сертификата в следующем формате в текстовом редакторе.

   ----- НАЧАТЬ СЕРТИФИКАТ ----- [данные сериализированы Microsoft] ----- КОНЕЦ СЕРТИФИКАТА -----

2. Открыть браузер Chrome (этот шаг может работать и с другими браузерами) настройки> показать дополнительные настройки> HTTPS / SSL> управлять сертификатами Импортируйте .txt в шаге 1
3. Выберите и экспортируйте этот сертификат в формате Base-64. Сохранить как .cer
4. Теперь вы можете использовать keytool или Portecle для импорта в хранилище ключей Java