Преобразование CA-подписанного хранилища JKS в PEM

У меня есть хранилище ключей JKS с сертификатом, подписанным CA. Мне нужно экспортировать его в формате PEM, чтобы использовать его с nginx. Мне нужно сделать это так, чтобы он включал всю цепочку, чтобы мой клиент мог проверить подпись.

Если я сделаю что-то вроде:

keytool -exportcert -keystore mykestore.jks -file mycert.crt -alias myalias
openssl x509 -out mycert.crt.pem -outform pem -in mycert.crt -inform der

Он включает только сертификат самого низкого уровня. Сбой проверки:

$ openssl s_client -connect localhost:443
CONNECTED(00000003)
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=123123
... (only one certificate!)
...
SSL-Session:
    ...
    Verify return code: 21 (unable to verify the first certificate)

Из Java:

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

В то время как Jetty с тем же самым хранилищем JKS печатает следующее:

$ openssl s_client -connect localhost:8084
CONNECTED(00000003)
depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
...
SSL-Session:
    Verify return code: 19 (self signed certificate in certificate chain)

Хотя openssl возвращает эту ошибку 19, это больше не проблема для Java HttpsURLConnection, и это все, о чем я забочусь.

Итак, как я могу экспортировать целую цепочку из JKS в формате (например, PEM), который работает как с сервером nginx, так и с клиентом Java? Что мне не хватает?

Ответ 1

Очень большая проблема, с которой я часто сталкиваюсь, заключается в том, что при создании CSR для получения нашего сертификата хранилище ключей (отформатированное в формате jks kesystore) не выводит .key или не предоставляет никаких средств для получения ключа .key. Поэтому я всегда получал .pem/.crt, не используя его с Apache2, который не может читать хранилище JKS, например Tomcat, но вместо этого требует распакованную пару .key +.pem/.crt.

Чтобы начать, получите "копию" существующего хранилища ключей и перейдите к пятой команде ниже или создайте свой собственный вот так:

C:\Temp>keytool -genkey -alias tomcat -keyalg RSA -keystore
 keystore.jks -keysize 2048 -validity 730 -storepass changeit

Затем, необязательно, создайте 2-летнюю CSR и затем импортируйте ответ CSR в следующем трехэтапном процессе:

C:\Temp>keytool -certreq -alias mydomain -keystore keystore.jks
 -file mydomain.csr
C:\Temp>keytool -import -trustcacerts -alias root -file
 RootPack.crt -keystore keystore.jks -storepass changeit
C:\Temp>keytool -import -trustcacerts -alias tomcat -file mydomain.response.crt
 -keystore keystore.jks -storepass changeit

Чтобы получить эту работу, и если у вас уже есть файл хранилища JKS, который вы используете для сервера приложений Tomcat, выполните следующие действия:

Сначала получите DER (двоичный) отформатированный сертификат в файл с именем "exported-der.crt":

C:\Temp>keytool -export -alias tomcat -keystore keystore.jks -file
 exported-der.crt

Затем просмотрите и подтвердите это:

C:\Temp>openssl x509 -noout -text -in exported-der.crt -inform der

Теперь вы захотите преобразовать его в формат PEM, который более широко используется в таких приложениях, как Apache и OpenSSL для преобразования PKCS12:

C:\Temp>openssl x509 -in exported-der.crt -out exported-pem.crt 
-outform pem -inform der

Затем загрузите и используйте ExportPriv, чтобы получить незашифрованный закрытый ключ из хранилища ключей:

C:\Temp>java ExportPriv <keystore> <alias> <password> > exported-pkcs8.key

Теперь вы, вероятно, понимаете, что закрытый ключ экспортируется в формате PKCS # 8 PEM. Чтобы получить его в формате RSA, который работает с Apache (PKCS # 12??), вы можете выполнить следующую команду:

C:\Temp>openssl pkcs8 -inform PEM -nocrypt -in exported-pkcs8.key
 -out exported-pem.key

Ответ 2

Вы можете легко преобразовать файл JKS в файл PKCS12:

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore keystore.p12

Затем вы можете извлечь закрытый ключ и любые сертификаты с помощью:

openssl pkcs12 -in keystore.p12

Ответ 3

Я не уверен, что можно извлечь цепочку с помощью keytool, но это можно сделать с помощью небольшой программы Java:

public void extract(KeyStore ks, String alias, char[] password, File dstdir) throws Exception
{
    KeyStore.PasswordProtection pwd = new KeyStore.PasswordProtection(password);
    KeyStore.PrivateKeyEntry entry = (KeyStore.PasswordKeyEntry)ks.getEntry(alias, pwd);
    Certificate[] chain = entry.getCertificateChain();
    for (int i = 0; i < chain.length; i++) {
        Certificate c = chain[i];
        FileOutputStream out = new FileOutputStream(new File(dstdir, String.format("%s.%d.crt", alias, i)));
        out.write(c.getEncoded());
        out.close();
    }
}

Этот код должен записывать все сертификаты цепочки в формате DER в представленном каталоге.