Как импортировать сертификат. cer в хранилище ключей java?

импорт .cer файл сертификата, загруженный из браузера (откройте url и копайте для деталей) в cacerts keystore in java_home\jre\lib\security работал на меня, в отличие от попыток генерировать и использовать мое собственное хранилище ключей.

1. иди к своему java_home\jre\lib\security
2. ( Windows) откройте там командную строку администратора с помощью cmd и CTRL+SHIFT+введите
3. выполнить keytool, чтобы импортировать сертификат:
   • (вместо yourAliasName и path\to\certificate.cer соответственно)

 ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias yourAliasName -file path\to\certificate.cer

таким образом, вам не нужно указывать какие-либо дополнительные параметры JVM, и сертификат должен быть распознан JRE.

вот код, который я использую для программного импорта .CER файлы в новое хранилище ключей.

import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
//VERY IMPORTANT.  SOME OF THESE EXIST IN MORE THAN ONE PACKAGE!
import java.security.GeneralSecurityException;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;

//Put everything after here in your function.
KeyStore trustStore  = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);//Make an empty store
InputStream fis = /* insert your file path here */;
BufferedInputStream bis = new BufferedInputStream(fis);

CertificateFactory cf = CertificateFactory.getInstance("X.509");

while (bis.available() > 0) {
    Certificate cert = cf.generateCertificate(bis);
    trustStore.setCertificateEntry("fiddler"+bis.available(), cert);
}

вы не должны вносить никаких изменений в сертификат. Вы уверены, что используете правильную команду импорта?

следующие работы для меня:

keytool -import -alias joe -file mycert.cer -keystore mycerts -storepass changeit

где файл mycert.КВЖД содержит:

-----BEGIN CERTIFICATE-----
MIIFUTCCBDmgAwIBAgIHK4FgDiVqczANBgkqhkiG9w0BAQUFADCByjELMAkGA1UE
BhMCVVMxEDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAY
...
RLJKd+SjxhLMD2pznKxC/Ztkkcoxaw9u0zVPOPrUtsE/X68Vmv6AEHJ+lWnUaWlf
zLpfMEvelFPYH4NT9mV5wuQ1Pgurf/ydBhPizc0uOCvd6UddJS5rPfVWnuFkgQOk
WmD+yvuojwsL38LPbtrC8SZgPKT3grnLwKu18nm3UN2isuciKPF2spNEFnmCUWDc
MMicbud3twMSO6Zbm3lx6CToNFzP
-----END CERTIFICATE-----

сертификат, который у вас уже есть, вероятно, является сертификатом сервера или сертификатом, используемым для подписи сертификата сервера. Он вам понадобится, чтобы ваш клиент веб-службы мог аутентифицировать сервер.

но если дополнительно вам нужно выполнить аутентификацию клиента с помощью SSL, то вам нужно получить свой собственный сертификат, чтобы аутентифицировать ваш клиент веб-службы. Для этого вам нужно создать запрос на сертификат; процесс включает в себя создание собственного закрытого ключа, и соответствующий открытый ключ, и прикрепление этого открытого ключа вместе с некоторой вашей информацией (электронная почта, имя, доменное имя и т. д.) к файлу, который называется запросом сертификата. Затем вы отправляете этот запрос сертификата в компанию, которая уже попросила вас об этом, и они создадут ваш сертификат, подписав ваш открытый ключ своим закрытым ключом, и они отправят вам обратно файл X509 с вашим сертификатом, который теперь вы можете добавить в свое хранилище ключей, и вы будете готовы подключиться к веб-сайту служба с использованием SSL, требующая проверки подлинности клиента.

чтобы сгенерировать запрос сертификата, используйте " keytool-certreq-alias-file-keypass-keystore ". Отправьте полученный файл в компанию, которая собирается его подписать.

когда вы вернете свой сертификат, запустите " keytool-importcert-alias-keypass-keystore ".

возможно, Вам потребуется использовать-storepass в обоих случаях, если хранилище ключей защищено (что является хорошей идеей).

инструмент GUI с открытым исходным кодом доступен по адресу keystore-explorer.org

KeyStore Explorer

KeyStore Explorer-это замена графического интерфейса с открытым исходным кодом для Java командной строки утилиты keytool и jarsigner. Хранилище Эксплорер представляет их функциональность, и больше, через интуитивное графическое пользовательский интерфейс.

следующие экраны помогут (они от официального сайт)

экран по умолчанию, который вы получаете, выполнив команду:

shantha@shantha:~$./Downloads/kse-521/kse.sh

и перейти к Examine и Examine a URL опция, а затем дать веб-URL, который вы хотите импортировать.

окно результатов будет, как показано ниже, если вы даете ссылку на сайт google.

Это один из вариантов использования, а остальное зависит от пользователя(все кредиты идут в keystore-explorer.org)

вот скрипт, который я использовал для пакетного импорта кучи файлов crt в текущем каталоге в хранилище ключей java. Просто сохраните это в ту же папку, что и ваш сертификат, и запустите его следующим образом:

./import_all_certs.sh

import_all_certs.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

вот как это работало для меня:

1. Сохранить как .тхт данные сертификата, в следующем формате в текстовом редакторе

   -----НАЧНИТЕ СЕРТИФИКАТ----- [сериализация данных корпорацией Майкрософт] ----- КОНЕЧНЫЙ СЕРТИФИКАТ - - - - -

2. откройте браузер chrome (этот шаг может работать и с другими браузерами) Настройки > Показать дополнительные настройки > протокол HTTPS и SSL > управление сертификатами Импортируйте .txt в шаге 1
3. выберите и экспортировать сертификат в кодировке base-64. Сохраните его как .cer
4. Теперь вы можете использовать keytool или Portecle для импорта его в хранилище ключей java