java keystore pem_关于ssl:以编程方式将PEM证书导入Java KeyStore

最新推荐文章于 2023-02-07 14:04:03 发布
最新推荐文章于 2023-02-07 14:04:03 发布
阅读量808 收藏 2
点赞数
文章标签: java keystore pem
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32121147/article/details/114536559
版权

我有一个客户端证书,由两个文件(.CRT和.Key)组成,我希望将其导入到Java密钥存储库中,然后在SSLVIEW中使用Apache的HTTPclient发送HTTP请求。然而,我似乎找不到一种程序化的方法来实现这一点,我发现的大多数其他问题要么指向外部工具,要么不适合我的情况。

我的证书用典型的"begin certificate"编码,后跟base64编码的字符串,密钥用"begin rsa private key"编码,然后是另一个base64编码的字符串。

这就是我到目前为止所得到的:

private static SSLContext createSSLContext(File certFile, File keyFile) throws IOException {

try {

PEMParser pemParser = new PEMParser(new FileReader(keyFile));

JcaPEMKeyConverter converter = new JcaPEMKeyConverter().setProvider(new BouncyCastleProvider());

Object object = pemParser.readObject();

KeyPair kp = converter.getKeyPair((PEMKeyPair) object);

PrivateKey privateKey = kp.getPrivate();

CertificateFactory certFactory = CertificateFactory.getInstance("X.509");

FileInputStream stream = new FileInputStream(certFile);

X509Certificate cert = (X509Certificate) certFactory.generateCertificate(stream);

KeyStore store = KeyStore.getInstance("JKS");

store.load(null);

store.setCertificateEntry("certificate", cert);

store.setKeyEntry("private-key", privateKey,"changeit".toCharArray(), new Certificate[] { cert });

SSLContext sslContext = SSLContexts.custom()

.loadKeyMaterial(store,"changeit".toCharArray())

.build();

return sslContext;

} catch (IOException | NoSuchAlgorithmException | CertificateException | KeyStoreException | KeyManagementException | UnrecoverableKeyException e) {

throw new IOException(e);

}

}

Stacktrace:

java.io.IOException: java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: invalid key format

at me.failedshack.ssltest.SSLTest.createSSLContext(SSLTest.java:80)

at me.failedshack.ssltest.SSLTest.main(SSLTest.java:31)

Caused by: java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: invalid key format

at java.base/sun.security.rsa.RSAKeyFactory.engineGeneratePrivate(RSAKeyFactory.java:216)

at java.base/java.security.KeyFactory.generatePrivate(KeyFactory.java:390)

at me.failedshack.ssltest.SSLTest.createSSLContext(SSLTest.java:62)

... 1 more

Caused by: java.security.InvalidKeyException: invalid key format

at java.base/sun.security.pkcs.PKCS8Key.decode(PKCS8Key.java:330)

at java.base/sun.security.pkcs.PKCS8Key.decode(PKCS8Key.java:355)

at java.base/sun.security.rsa.RSAPrivateCrtKeyImpl.(RSAPrivateCrtKeyImpl.java:91)

at java.base/sun.security.rsa.RSAPrivateCrtKeyImpl.newKey(RSAPrivateCrtKeyImpl.java:75)

at java.base/sun.security.rsa.RSAKeyFactory.generatePrivate(RSAKeyFactory.java:315)

at java.base/sun.security.rsa.RSAKeyFactory.engineGeneratePrivate(RSAKeyFactory.java:212)

... 3 more

遗憾的是,在从文件生成私钥时,我一直得到一个InvalidKeyException。

堆栈跟踪。注意,你不应该叫setCertificateEntry(),只叫setKeyEntry()。

您还需要用KeyManager而不是TrustManager初始化SSLContext。否则将永远找不到您的私钥。

您也不能将私钥强制转换为公钥。这些都没有什么意义。

@EJP对PublicKey的演员阵容感到抱歉,这是我在玩的东西,不小心抄到了问题上。你说得对,钥匙管理器的事。我修改了这个问题。

好吧,这个例外只能说明它所说的:密钥文件有问题。你能用openssl读吗?

@EJP只是试了一下,没有抱怨什么。

EJPS: OpenSSL可以根据类型(RSA 4)透明地为PrimeAtKEY读取几个PEM格式,但是Java,除非您添加BC,根本不能读取PEM,而只有一种DER格式(PKCS8未加密)。

RSA PRIVATE KEY类型的pem文件是base64而不是二进制文件,更重要的是pkcs1格式不是pkcs8,因此不能作为PKCS8EncodedKeySpec处理。

您的选择是:

将PKCS1 PEM格式转换为PKCS8(未加密)PEM格式;读取并删除头和尾部行,并将Base64解码为二进制,并将其放在EDCOX1×1中,但您不需要外部工具,而且将私有密钥+证书(或链)转换为已经是Java密钥存储和AV的PKCS12(DER)也同样容易。回避这个问题

将pkcs1 pem格式转换为pkcs8(未加密)der格式,您只需将其作为二进制文件读取并放入PKCS8EncodedKeySpec--同上

如果pkcs1 pem是未加密的,则按照上述方法将其读取并解码为pkcs1 der,然后手动构造pkcs8(未加密)编码,并使用它

如果pkcs1 pem是加密的,您可以检测到它的主体除了base64之外还包含两个822样式的头行,那么您必须复制openssl的"遗留"密钥文件解密,再构造pkcs8(未加密)编码。

如果您可以使用bouncycastle,特别是bcpkix,它可以直接读取和解析openssl用于私钥的所有PEM变量,包括解密加密的PEM变量;但是,如果您还没有使用它,这是安装和/或部署的额外jar

请参阅以下一个或多个副本:向KeyStore(Java)加载证书(Q使用PojCyCARS构建PKCS8)Java:将DKIM私钥从RSA转换为DER,用于JavaMail(我的答案用手构造PKCS8)如何从文件加载RSA私钥(使用BouncyCastle读取)读取Java中的pkCS1格式的RSA私钥(使用PosiCyCar读取)从rsa.pem文件获取私钥(使用bc解密)用Java解密OpenSSL PEM编码的RSA私钥?(手动解密)可能是RSA私钥的pkcs_1和pkcs_8格式(背景)"begin rsa private key"和"begin private key"的区别(背景)

非常感谢您的澄清,我选择使用BouncyCastle来读取私钥,并且似乎正在做它的工作。但是,我无法获得要处理的请求,我得到以下异常:"pkix路径生成失败:sun.security.provider.certpath.suncertpathbuilderexception:找不到请求目标的有效证书路径"。我读到这意味着证书不可信。我使用的代码与问题中的代码相同,只是我更改了几行代码,用BouncyCastle加载私钥。

这是一个不同的问题;您在keymanager中加载的用于验证您自己身份的privatekey+cert与trustmanager验证任何其他方(反之亦然)完全不同,与之毫无关系。但是您发布的代码似乎使用了一个没有初始化的tmf,这根本不起作用,并且抛出了一个与您所说的完全不同的异常。请检查您的代码,并(如果您仍然有问题)将您尝试连接时使用的信任库添加到您的Q中。

我以为我已经更新了问题中的代码,但显然没有。我正试图做到这一点:github.com/plailect/plaicdn/blob/master/plaicdn.py l123

现在,我尝试用openssl手动将证书和密钥导入到pkcs12密钥存储库,并按照下面的说明加载它:stackoverflow.com/questions/21223084/…但是在连接时一直收到相同的消息,我觉得此时应该打开一个新问题。

(1)好的,您的代码现在有效地使用(或者更确切地说,让JSSE使用)默认信任库(2)该python中引用的两个主机提供由"任天堂CA-G3"颁发的叶证书。CA当然不在Java默认CA列表中,尽管我不知道哪个商店(您的?)如果这个CA在任何标准的分布式CA列表中,而不进行任何修改,那么Python会使用我会非常惊讶的。您确定没有(按照一些说明或设置过程)将该证书添加到系统上的存储区吗?

Andy区块链
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl证书(nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomca、nginx通过ssl访问的证书,弄了好久才生成了一套能使用的。下载后将文件解压到磁盘里,配置后访问即可。本套证书在windows上制作的,测试没问题,可以放心使用。client代表客户端的证书,server代表服务器端的证书,ca代表三方公正机构。
java keystore pem_将PEM证书链和密钥导入Java Keystore
weixin_39610594的博客
02-13 1416
这可能不完美,但我对我使用的keytool有一些注意事项,我已经为你的场景进行了修改.>将根CA或中间CA证书导入现有Java密钥库:keytool -import -trustcacerts -alias root -file ca_geotrust_global.pem -keystore yourkeystore.jkskeytool -import -trustcacerts -al...
JAVA客户端导入证书来访问HTTPS的方法
滕青山博客
02-07 6505
1、java证书都放在了 D:\jdks\1.8\jre\lib\security 这个路径下的cacerts 文件里面。我们进入jdk/bin这个路径,使用keytool工具。2、输入以下命令 keytool -import -aliias [证书名字] -keystore [cacerts路径] -file [证书地址] 即可。如果是自己的网站可以从服务商那里下载,如果是别人的网站那么需要从浏览器导出。或者到方法二那里通过代码生成证书。3、。
不同格式证书导入keystore方法
热门推荐
王浩的技术博客
08-28 2万+
简介 Java自带的keytool工具是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥(以证书形式)。 keytool 将密钥和证书储存在一个所谓的密钥仓库(keystore)中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥
转换java keytools的keystore证书到OPENSSLPEM格式文件
weixin_34212762的博客
10-14 213
背景:原先业务使用的前端为haproxy,直接端口转发至tomcat,后端进行ssl连接,所以当时生成的步骤如下 ? 1 2 •生成密钥对:keytool -genkey -alias tomcat-server -keyalg RSA -keypass xxxxxxx -storepass xxxxxxx -keystore server.keysto...
如何用java来打印半圆_如何画半圆 - java
weixin_36122351的博客
02-25 959
我正在用Java开发一个小型应用程序。我正在使用Java2D库绘制一些图形对象。现在,我想绘制一些半圆形的形状,或者用简单的话来绘制(形状和)形状。我没有找到绘制半圆的任何功能,但我想Arc2D.Double(. . .);会为我工作,所以我尝试了一下,但我不明白我需要将哪些参数传递给其构造函数。所以我最终得到了一种奇怪的形状:(可以有人详细解释这些参数还是参考一些好的链接。参考方案绘制(Arc2...
Android 实现SLL Socket 双向认证(原有格式为PEM(私钥.key和证书.pem))
tnbaiyunf的博客
02-18 2512
为了实现TLS socket 消息认证。Server需要:1)KeyStore: 其中保存服务端的私钥2)Trust KeyStore:其中保存客户端的授权证书同样,Client需要:1)KeyStore:其中保存客户端的私钥2)Trust KeyStore:其中保存服务端的授权证书 但是Android 确实只能识别BKS 格式的证书,如果为其他格式的证书需要转换, 其中用到的转换工具为...
http ssl 证书pem文件 和 私钥文件key 放入 httpclient 请求
weixin_40836984的博客
04-24 4973
public static String httpGET(String url, String pemPath, String keypath) { // 加载证书 try { SSLConnectionSocketFactory sslsf =getSocketFactoryPEM(pemPath, keypath); ...
java使用bountycastle验证rsa公钥和证书,使用bountycastle处理pem格式密钥
qq_43598865的博客
10-11 1533
java验证公钥和证书 介绍一下编码格式 本节主要介绍密钥和证书中常见的编码规则 DER和由 DER 衍生出的密钥文件格式 PEM。 DER (Distinguished Encoding Rules)DER (Distinguished Encoding Rules) DER 是用二进制DER编码的证书,DER格式常见于java语言 PEM格式是在DER格式的基础上采用base64编码得到,PEM is Base64-encoded DER。PEM格式是采用openssl生成密钥和证书的格式。 下面是经典
jks-js:从Java密钥库中提取PEM证书,以便使用节点js安全地连接到基于Java的服务器
05-05
jks-js是到PEM证书的转换器,以便使用节点js安全地连接到基于Java的服务器。 安装 npm install jks - js 用法 ... const jks = require ( 'jks-js' ) ; const keystore = jks . toPem ( fs . readFileSync ( '...
keystore-explorer:KeyStore Explorer是Java命令行实用程序keytool和jarsigner的免费GUI替代品
04-12
密钥库资源管理器 KeyStore Explorer是Java命令行实用程序...以多种格式导入和导出密钥和证书:PKCS#12,PKCS#8,PKCS#7,DER / PEM X.509证书文件,Microsoft PVK,SPC,PKI路径,OpenSSL 生成,查看和签名
keystore转x509.pem、pk8工具,兼容windows、linux
03-12
keystore转x509.pem、pk8工具,兼容windows、linux。内附使用说明。
keystore转x509pem pk8工具
06-21
keystore 转 x509pem pk8签名工具 使用方法: java -jar ks2x509.jar a.keystore bAlias pwd1 pwd2 注意: a改为你的keystore名字 bAlias:keystore生成时的别名 pwd1:keystore生成时的密码 pwd2:keystore生成时...
node-v12.18.3-linux-s390x.tar.xz
最新发布
05-01
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
用于高级分析的阿联酋汽车市场销售数据
05-01
通过我们最新收集的数据集,释放阿联酋充满活力的汽车市场的潜力,该数据集于2024年4月12日更新。该主要数据集来源于dubizzle.com,提供了阿拉伯联合酋长国当前汽车销售的全面快照,为汽车市场趋势和消费者偏好提供了宝贵的见解。
基于Python+opencv+keras+numpy+sklearn的人脸识别门禁系统.zip
05-01
基于OpenCV的系统
美国大学生数学建模竞赛简介
05-01
美国大学生数学建模竞赛(MCM/ICM),简称“美赛”,是一项由美国数学及其应用联合会(COMAP)主办的国际性数学建模竞赛。该竞赛自1985年创办以来,已经成为全球范围内极具影响力的数学建模竞赛之一,旨在鼓励大学生团队应用数学知识解决实际问题,提升学生的数学建模能力、科研能力以及团队合作精神。 美赛作为一项国际性的学术竞赛,对参赛学生的数学、英语、论文写作和科研能力有很高的要求。竞赛通常要求三人一组,在四天内完成从建立数学模型、求解、验证到撰写论文的全过程。竞赛题目覆盖经济、管理、环境、资源、生态、医学、安全等多个领域。
Blackmagic SmartView SmartScope Duo 4K SmartView 4K 五月 安装和操作手册
05-01
Blackmagic SmartView SmartScope SmartView Duo SmartScope Duo 4K SmartView 4K 五月 2021 安装和操作手册
javapem_将Java密钥库转换为PEM格式
06-09
Java密钥库转换为PEM格式,可以按照以下步骤进行: 1.使用keytool命令将Java密钥库转换为PKCS12格式: ``` keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.p12 -deststoretype PKCS12 ``` 其中,keystore.jks为Java密钥库的文件名,keystore.p12为转换后的PKCS12格式文件名。 2.使用openssl命令将PKCS12格式转换为PEM格式: ``` openssl pkcs12 -in keystore.p12 -out keystore.pem -nodes ``` 其中,keystore.p12为转换后的PKCS12格式文件名,keystore.pem为转换后的PEM格式文件名。 转换后,可以使用文本编辑器打开keystore.pem文件,查看其中的私钥和证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值