【Java】SSL证书那些事:各种证书概念,各类证书转换,keytool使用

最新推荐文章于 2023-10-13 10:10:20 发布
最新推荐文章于 2023-10-13 10:10:20 发布
阅读量575 收藏 1
点赞数
分类专栏: Java 文章标签: java 证书概念 证书转换 keytool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqchaozai/article/details/92790493
版权

1 证书概念

  • SSL 

 Secure Sockets Layer,一种加密协议规范,如https就使用它进行加解密

  • OpenSSL

一种ssl规范的实现,可以帮助我们生成解析各类证书

  • X.509

证书标准,比如证书应该包含哪些信息

  • PEM

Privacy Enhanced Mail,一种编码格式,常用于Apache和UNIX服务器,查看证书信息:openssl x509 -in certificate.pem -text -noout

  • DER

Distinguished Encoding Rules,一种编码格式,常用于Java和Windows服务器,查看证书的信息:openssl x509 -in certificate.der -inform der -text -noout

  • 编码转换

PEM转为DER:openssl x509 -in cert.crt -outform der -out cert.der
DER转为PEM:openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

  • CRT:certificate,证书文件,常见于UNIX系统,大多应是PEM编码
  • CER:certificate,证书文件,常见于Windows系统,大多应是DER编码.
  • KEY:通常用来存放一个公钥或者私钥,查看不同编码格式文件内容

PEM格式:openssl rsa -in mykey.key -text -noout
DER格式:openssl rsa -in mykey.key -text -noout -inform der

  • CSR  Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,查看方法:openssl req -noout -text -in my.csr (DER格式同上后面加上-inform der)
  • PFX/P12: predecessor of PKCS#12,对Unix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,因此这个文件包含了证书及私钥。

生成pfx的命令:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt
其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.

  • JKS :Java Key Storage,跟OpenSSL关系不大,Java的keytool工具可以将PFX转为JKS,也能直接生成JKS

2 证书转换

2.1 CRT证书转JKS证书

  • crt转为p12证书

openssl pkcs12 -export -in from.crt -inkey private.key -out to.p12 -name "alias"
  • p12转为jks证书
keytool -importkeystore -srckeystore from.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore to.jks

2.2 JKS证书转CRT证书和私钥

  • jks转p12证书
keytool -importkeystore -srckeystore from.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore to.p12
  • p12转crt证书
openssl pkcs12 -in from.p12 -nokeys -clcerts -out to.crt
  • p12转私钥
openssl pkcs12 -in from.p12 -nocerts -nodes -out to.key

2.3 pfx与jks互相转换(Java代码)

/**
 * pfx与jks互相转换
 */
public class ConvertPFX {
	public static final String PKCS12 = "PKCS12";
	public static final String JKS = "JKS";
	public static final String PFX_KEYSTORE_FILE = "some.pfx";
	public static final String KEYSTORE_PASSWORD = "123456";
	public static final String JKS_KEYSTORE_FILE = "some.keystore";
 
	/**
	 * 将pfx或p12的文件转为keystore
	 */
	public static void coverTokeyStore() {
		try {
			KeyStore inputKeyStore = KeyStore.getInstance("PKCS12");
			FileInputStream fis = new FileInputStream(PFX_KEYSTORE_FILE);
			char[] nPassword = null;
 
			if ((KEYSTORE_PASSWORD == null)
					|| KEYSTORE_PASSWORD.trim().equals("")) {
				nPassword = null;
			} else {
				nPassword = KEYSTORE_PASSWORD.toCharArray();
			}
 
			inputKeyStore.load(fis, nPassword);
			fis.close();
 
			KeyStore outputKeyStore = KeyStore.getInstance("JKS");
 
			outputKeyStore.load(null, KEYSTORE_PASSWORD.toCharArray());
 
			Enumeration enums = inputKeyStore.aliases();
 
			while (enums.hasMoreElements()) { // we are readin just one
												// certificate.
 
				String keyAlias = (String) enums.nextElement();
 
				System.out.println("alias=[" + keyAlias + "]");
 
				if (inputKeyStore.isKeyEntry(keyAlias)) {
					Key key = inputKeyStore.getKey(keyAlias, nPassword);
					Certificate[] certChain = inputKeyStore
							.getCertificateChain(keyAlias);
 
					outputKeyStore.setKeyEntry(keyAlias, key,
							KEYSTORE_PASSWORD.toCharArray(), certChain);
				}
			}
 
			FileOutputStream out = new FileOutputStream(JKS_KEYSTORE_FILE);
 
			outputKeyStore.store(out, nPassword);
			out.close();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
 
	/**
	 * 将keystore转为pfx
	 */
	public static void coverToPfx() {
		try {
			KeyStore inputKeyStore = KeyStore.getInstance("JKS");
			FileInputStream fis = new FileInputStream(JKS_KEYSTORE_FILE);
			char[] nPassword = null;
 
			if ((KEYSTORE_PASSWORD == null)
					|| KEYSTORE_PASSWORD.trim().equals("")) {
				nPassword = null;
			} else {
				nPassword = KEYSTORE_PASSWORD.toCharArray();
			}
 
			inputKeyStore.load(fis, nPassword);
			fis.close();
 
			KeyStore outputKeyStore = KeyStore.getInstance("PKCS12");
 
			outputKeyStore.load(null, KEYSTORE_PASSWORD.toCharArray());
 
			Enumeration enums = inputKeyStore.aliases();
 
			while (enums.hasMoreElements()) { // we are readin just one
												// certificate.
 
				String keyAlias = (String) enums.nextElement();
 
				System.out.println("alias=[" + keyAlias + "]");
 
				if (inputKeyStore.isKeyEntry(keyAlias)) {
					Key key = inputKeyStore.getKey(keyAlias, nPassword);
					Certificate[] certChain = inputKeyStore
							.getCertificateChain(keyAlias);
 
					outputKeyStore.setKeyEntry(keyAlias, key,
							KEYSTORE_PASSWORD.toCharArray(), certChain);
				}
			}
 
			FileOutputStream out = new FileOutputStream(PFX_KEYSTORE_FILE);
 
			outputKeyStore.store(out, nPassword);
			out.close();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
 
	public static void main(String[] args) {
		coverTokeyStore();
	}
}

3 Keytool使用

  • 查看jks内容:
keytool -list  -v -keystore server.keystore -storepass 123456
  • 生成jks证书:
keytool -genkey -alias cp.com.cn -keypass changeit -keyalg RSA -keysize 2048
-sigalg "SHA512withRSA" -validity 3650 -keystore server.keystore -keypass 123 -storepass 123
-dname "CN=cp.com.cn, OU=mssp, O=com.cn, L=Hangzhou, ST=Zhejiang, C=ZH"
  • 导出证书:
keytool -export -alias cp.com.cn -keystore server.keystore -file server.crt -storepass 123
  • 查看证书:
keytool -printcert -file server.crt
  • 导入证书到jre:
keytool -import -file "server.crt" -keystore "C:\Program Files\Java\jre1.8.0_111\lib\security\cacerts" -alias cp.com.cn
  • 查看jre内包含的证书:
keytool -list -keystore "C:\Program Files\Java\jre1.8.0_111\lib\security\cacerts" | findstr /i cp.com.cn

最后推荐一个SSL工具网站:https://www.chinassl.net/ssltools/convert-ssl.html

 

爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!

qqchaozai
关注
专栏目录
java socket pem证书_关于ssl:将PEM导入Java密钥存储区
weixin_27210125的博客
03-01 993
我正在尝试连接到SSL服务器,这需要我进行身份验证。 为了在Apache MINA上使用SSL,我需要一个合适的JKS文件。 但是,仅给我一个.PEM文件。如何从PEM文件创建JKS文件?可能该链接会有所帮助:http://www.agentbob.info/agentbob/79-AB.html首先,将您的证书转换为DER格式:openssl x509 -outform der -in cert...
生成Apk签名证书keystore,openssl证书,keystore,jks,pem/pk8
ShareUs的专栏
10-28 3179
android app 无签名能否安装?可以! 其实这句话说得不全对。 你所谓的无签名其实里面已经有一个默认debug签名了。只不过debug签名时效只有一年而已。-- Android签名文件有很多种,比如最早的keystore,jks,pem/pk8等 1.KeyStore: KeyStore是Eclipse开发Android的时候最早的签名文件了. 2.JKS(Java key st...
java证书-- pem转keystore
曾义文的博客
12-17 8673
环境要求:安装有openssl以及jdk pem->pk12->keystore 1、 首先将pem文件(包括证书和私钥)转换成pk12格式文件: $ openssl pkcs12(证书类型) -export -in cert.pem(pem证书文件) -inkey key.pem(pem私钥文件) -out out.pk12(导出pk12文件) -name out(证书及私钥的友...
CRT、CER、PEM、DER编码、JKS、KeyStore等格式证书说明及转换
changcsw的专栏
05-26 5321
文章参考及借鉴学习: https://blog.csdn.net/jiang877864109/article/details/113416923 https://blog.csdn.net/xiangguiwang/article/details/76400805 https://blog.csdn.net/carcoon/article/details/106133668 https://blog.csdn.net/qq_18105691/article/details/83339101.
证书生成(keystore、truststore、crt、key)
热门推荐
IT从业者
03-27 1万+
证书生成(keystore、truststore、crt、key)
OpenSSL PKI命令教程(简单实现自签CA和数字证书
weixin_42098322的博客
05-26 594
实验参考: Openssl PKI 相关命令教程,使用RSA算法,成为根CA、生成密钥 PEM、签名申请 CSR、签名 CRT、验签 VERIFY 等等 生成自签CA 证书作为CA根证书,一旦该证书安装,此CA就会被信任 建立文件夹 mkdir ~/myCert cd ~/myCert mkdir demoCA mkdir demoCA/private mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts touch demoCA/ind
JDK生成ssl证书
11-29
### JDK生成SSL证书详解 #### 一、概述 ...至此,我们已经完成了使用JDK自带工具`keytool`生成并配置SSL证书的全过程。接下来,您可以通过HTTPS端口8443访问您的服务器,实现数据传输的安全加密。
keystoke证书转换nginx证书工具
05-18
标题提到的"keystoke证书转换nginx证书工具"是一个帮助管理员处理SSL/TLS证书的实用程序,特别针对从Java的`keytool.exe`生成的`.keystore`格式证书进行转换。`keytool`是Java Development Kit (JDK) 自带的一个...
SSL中各证书转换
12-08
在IT领域,特别是网络安全与加密通信中,SSL(Secure Sockets Layer)证书是确保数据传输安全的关键要素之一。本文将详细介绍如何在不同的证书格式之间进行转换,包括从`.cer`到`.jks`、从`.jks`到`.cer`、从`.p12`...
SSL证书安装.zip
10-25
- **导入证书**:将SSL证书转换为PKCS12格式,然后使用Java的`keytool`导入到Keystore中。 - **编辑server.xml**:在`Connector`元素中配置SSL,指定Keystore路径、密码和端口。 - **重启Tomcat**:修改后,重启...
PFX格式证书JAVA keyStore证书相互转换
03-05
java 生成的有私钥的证书导入IE,或者把IE导出的证书导入java的KeyStore
使用OpenSSL生成自签证书
最新发布
zpsimon的博客
10-13 1865
使用openssl创建自签名证书
SSL证书转换(一)]关于JKS 转换成 CRT 和 KEY
梦想起飞的地方.........
04-27 5299
之前遇到个问题,客户做小程序系统,而小程序前后端交互需要https协议,因此就需要在后端nginx前置服务器配置SSL证书。而客户给的SSL证书,是Java版的jks证书;且客户提供的配置好基本环境的nginx,所需要的证书是crt和key组合形式,因此需要进行证书转换。在证书转换证书配置过程中,以及后续的实际生产部署的过程中,也遇到了各种坑。[强烈建议,有钱的用户,或者省的用户,使用云服务器,不要自建服务器,这样可以有免费的ssl证书,可以很简单的配置] 现在简单记录下配置的步骤: 1.拿到j..
cas CompareAndSwap
alenejinping的专栏
11-09 256
import org.apache.xmlbeans.impl.xb.xsdschema.Public; import java.util.concurrent.atomic.AtomicInteger; /** * 1 cas : CompareAndSet * 2 比较并交换 * 3 自旋锁 * 4 Unsafe类 */ public class CasDemo { public static void main(String[] ags){ Atomic...
【Web笔记】nginx配置及配置SSL(HTTPS)
04-21 809
原文地址:  http://www.linuxidc.com/Linux/2011-09/44187.htm 1、安装nginx ①、为了确保能在 nginx 中使用正则表达式进行更灵活的配置,安装之前需要确定系统是否安装有 PCRE(Perl Compatible Regular Expressions)包。您可以到 ftp://ftp.csx.cam.ac.uk/p
java keytool jks_jdk的keytool生成jks和获取jks的信息,公匙
weixin_31592801的博客
02-13 569
1.生成jks。执行命令:keytool -genkeypair -alias mytest -keyalgRSA -keypass mypass -keystore mytest.jks -storepass mypass -keystore jks文件保存路径生成的mytest.jks证书中包含我们的密钥 :公钥和私钥。2.利用"keytool -list -v -keystore test...
java 在线ssl证书转换_SSL证书格式详解与转换
weixin_35843523的博客
02-27 558
一般来说,主流的 Web 服务软件,通常都基于 OpenSSLJava 两种基础密码库。、Weblogic、JBoss 等 Web 服务软件,一般使用 Java 提供的密码库。通过 Java Development Kit (JDK)工具包中的 Keytool 工具,生成 Java Keystore(JKS)格式的证书文件。Apache、等 Web 服务软件,一般使用 OpenSSL 工具...
SSL证书转换指南:cer到JKSJKS到cer,p12到pem
"本文主要介绍了SSL证书在不同格式之间的转换方法,包括cer格式转换...了解并掌握这些转换方法对于管理SSL证书、配置服务器以及在不同环境间迁移证书至关重要,它们使得我们可以根据实际需求灵活地处理和使用SSL证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qqchaozai

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值