이 주제에 대한 많은 자료가 있지만이 특별한 사례를 다루는 것은 없습니다.
4 개의 파일이 있습니다.
그리고 그것들을 새로운 키 저장소로 가져오고 싶습니다.
일부 사이트에서는 DER 형식을 사용하여 하나씩 가져 오는 것이 좋지만 키가 인식되지 않아 실패했습니다.
다른 사이트는 가져 오기 위해 실행할 특별한 "ImportKey"클래스를 제안했으며, 체인이 끊어 질 때까지 작동했습니다. 즉, 인증서의 체인 길이는 1이며 중간 및 ca는 무시합니다.
일부 사이트는 PKCS7을 제안하지만 그로부터 체인을 얻을 수도 없습니다. 다른 사람은 PKCS12 형식을 제안하지만 테스트가 진행되는 한 전체 체인을 얻는 데 실패했습니다.
어떤 조언이나 힌트도 환영합니다.
답변:
이것은 완벽하지는 않지만 keytool시나리오에 맞게 수정 한 것에 대한 참고 사항이 있습니다.
루트 또는 중간 CA 인증서를 기존 Java 키 저장소로 가져 오십시오.
keytool -import -trustcacerts -alias root -file ca_geotrust_global.pem -keystore yourkeystore.jks
keytool -import -trustcacerts -alias root -file intermediate_rapidssl.pem -keystore yourkeystore.jks
가져 오기 전에 인증서와 개인 키를 하나의 파일로 결합하십시오.
cat certificate.pem privatekey.pem > combined.pem
파일 형식은 아래와 같습니다.
인증 시작
... 인증서
종료
RSA 개인 키 시작
...
RSA 개인 키 종료
서명 된 기본 인증서 및 키를 기존 Java 키 저장소로 가져 오십시오.
keytool -import -trustcacerts -alias yourdomain -file combined.pem -keystore yourkeystore.jks
alias <root> already exists) 비어있는 새 키 저장소로 시도 할 수 있습니까?
all.pem과 같이 모든 * .pem 파일을 하나의 pem 파일로 연결 한 다음 개인 키 + all.pem을 사용하여 p12 형식의 키 저장소를 작성하십시오.
openssl pkcs12 -export -inkey private.key -in all.pem -name test -out test.p12
그런 다음 p12를 jks로 내보내십시오.
keytool -importkeystore -srckeystore test.p12 -srcstoretype pkcs12 -destkeystore test.jks
keytool은 위에서 제안한대로 단일 (결합 된) 파일에서 인증서 + 개인 키를 가져 오는 방법을 제공하지 않습니다. 제대로 실행되지만 인증서 만 가져오고 개인 키는 무시됩니다. 다음과 같은 방법으로 그것을 확인할 수 있습니다 keytool -list -v -keystore yourkeystore.jks- 사용자 도메인 항목 유형은 PrivateKeyEntry를하는 trustedCertEntry 없습니다.
따라서 초기 문제를 해결하려면 먼저 openssl (또는 유사한 도구)을 사용하여 PKCS # 12 키 저장소를 만든 다음로 키 저장소를 가져와야합니다 keytool -importkeystore.