将 Java 密钥库转换为 PEM 格式
https://stackoverflow.com/questions/652916
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我正在尝试使用 keytool 和 openssl 应用程序将 Java 密钥库文件转换为 PEM 文件。但我找不到一个好的方法来进行转换。有任何想法吗?
我没有将密钥库直接转换为 PEM,而是尝试先创建一个 PKCS12 文件,然后转换为相关的 PEM 文件和密钥库。但我无法使用它们建立连接。(请注意,我只需要一个 PEM 文件和一个密钥库文件来实现安全连接。没有像“从 java 密钥库文件启动”这样的限制。:) 所以从其他格式开始对我来说是可以接受的)
但从 jks 到 pem 的直接转换方法更好。
解决方案
很简单,至少使用jdk6...
bash$ keytool -keystore foo.jks -genkeypair -alias foo \
-dname 'CN=foo.example.com,L=Melbourne,ST=Victoria,C=AU'
Enter keystore password:
Re-enter new password:
Enter key password for
(RETURN if same as keystore password):
bash$ keytool -keystore foo.jks -exportcert -alias foo | \
openssl x509 -inform der -text
Enter keystore password: asdasd
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1237334757 (0x49c03ae5)
Signature Algorithm: dsaWithSHA1
Issuer: C=AU, ST=Victoria, L=Melbourne, CN=foo.example.com
Validity
Not Before: Mar 18 00:05:57 2009 GMT
Not After : Jun 16 00:05:57 2009 GMT
Subject: C=AU, ST=Victoria, L=Melbourne, CN=foo.example.com
Subject Public Key Info:
Public Key Algorithm: dsaEncryption
DSA Public Key:
pub:
00:e2:66:5c:e0:2e:da:e0:6b:a6:aa:97:64:59:14:
7e:a6:2e:5a:45:f9:2f:b5:2d:f4:34:27:e6:53:c7:
bash$ keytool -importkeystore -srckeystore foo.jks \
-destkeystore foo.p12 \
-srcstoretype jks \
-deststoretype pkcs12
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
Entry for alias foo successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
bash$ openssl pkcs12 -in foo.p12 -out foo.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
bash$ openssl x509 -text -in foo.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1237334757 (0x49c03ae5)
Signature Algorithm: dsaWithSHA1
Issuer: C=AU, ST=Victoria, L=Melbourne, CN=foo.example.com
Validity
Not Before: Mar 18 00:05:57 2009 GMT
Not After : Jun 16 00:05:57 2009 GMT
Subject: C=AU, ST=Victoria, L=Melbourne, CN=foo.example.com
Subject Public Key Info:
Public Key Algorithm: dsaEncryption
DSA Public Key:
pub:
00:e2:66:5c:e0:2e:da:e0:6b:a6:aa:97:64:59:14:
7e:a6:2e:5a:45:f9:2f:b5:2d:f4:34:27:e6:53:c7:
bash$ openssl dsa -text -in foo.pem
read DSA key
Enter PEM pass phrase:
Private-Key: (1024 bit)
priv:
00:8f:b1:af:55:63:92:7c:d2:0f:e6:f3:a2:f5:ff:
1a:7a:fe:8c:39:dd
pub:
00:e2:66:5c:e0:2e:da:e0:6b:a6:aa:97:64:59:14:
7e:a6:2e:5a:45:f9:2f:b5:2d:f4:34:27:e6:53:c7:
你最终会得到:
- foo.jks - java 格式的密钥库。
- foo.p12 - PKCS#12 格式的密钥库。
- foo.pem - 来自密钥库的所有密钥和证书,采用 PEM 格式。
(如果您愿意,最后一个文件可以分为密钥和证书。)
命令摘要 - 创建 JKS 密钥库:
keytool -keystore foo.jks -genkeypair -alias foo \
-dname 'CN=foo.example.com,L=Melbourne,ST=Victoria,C=AU'
命令摘要 - 将 JKS 密钥库转换为 PKCS#12 密钥库,然后转换为 PEM 文件:
keytool -importkeystore -srckeystore foo.jks \
-destkeystore foo.p12 \
-srcstoretype jks \
-deststoretype pkcs12
openssl pkcs12 -in foo.p12 -out foo.pem
如果您的 JKS 密钥库中有多个证书,并且您只想导出与其中一个别名关联的证书和密钥,则可以使用以下变体:
keytool -importkeystore -srckeystore foo.jks \
-destkeystore foo.p12 \
-srcalias foo \
-srcstoretype jks \
-deststoretype pkcs12
openssl pkcs12 -in foo.p12 -out foo.pem
命令摘要 - 将 JKS 密钥库与 PEM 文件进行比较:
keytool -keystore foo.jks -exportcert -alias foo | \
openssl x509 -inform der -text
openssl x509 -text -in foo.pem
openssl dsa -text -in foo.pem
其他提示
我保持使用StoBor的命令时获得来自openssl误差:
MAC verified OK
Error outputting keys and certificates
139940235364168:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:535:
139940235364168:error:23077074:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 cipherfinal error:p12_decr.c:97:
139940235364168:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:123:
由于某些原因,只有这种风格的命令将工作我JKS文件
keytool -importkeystore -srckeystore foo.jks \
-destkeystore foo.p12 \
-srcstoretype jks \
-srcalias mykey \
-deststoretype pkcs12 \
-destkeypass DUMMY123
在键被设置destkeypass,所述参数的值没有关系。
在keytool命令将不会让你从一个密钥存储导出私钥。你必须写一些Java代码来做到这一点。打开密钥存储,获得您需要的关键,并将其保存到在PKCS#8格式的文件。保存相关的证书太
KeyStore ks = KeyStore.getInstance("jks");
/* Load the key store. */
...
char[] password = ...;
/* Save the private key. */
FileOutputStream kos = new FileOutputStream("tmpkey.der");
Key pvt = ks.getKey("your_alias", password);
kos.write(pvt.getEncoded());
kos.flush();
kos.close();
/* Save the certificate. */
FileOutputStream cos = new FileOutputStream("tmpcert.der");
Certificate pub = ks.getCertificate("your_alias");
cos.write(pub.getEncoded());
cos.flush();
cos.close();
使用的OpenSSL实用程序将这些文件(其在二进制格式)转换为PEM格式。
openssl pkcs8 -inform der -nocrypt < tmpkey.der > tmpkey.pem
openssl x509 -inform der < tmpcert.der > tmpcert.pem
这使用keytool JKS到PEM文件直接转换
keytool -exportcert -alias selfsigned -keypass password -keystore test-user.jks -rfc -file test-user.pem
简化指令以转换一个JKS文件到PEM和KEY格式(.CRT&.KEY):
keytool -importkeystore -srckeystore <Source-Java-Key-Store-File> -destkeystore <Destination-Pkcs12-File> -srcstoretype jks -deststoretype pkcs12 -destkeypass <Destination-Key-Password>
openssl pkcs12 -in <Destination-Pkcs12-File> -out <Destination-Pem-File>
openssl x509 -outform der -in <Destination-Pem-File> -out <Destination-Crt-File>
openssl rsa -in <Destination-Pem-File> -out <Destination-Key-File>
openssl pkcs12 -in pkcs-12-certificate-file -out pem-certificate-file
openssl pkcs12 -in pkcs-12-certificate-and-key-file -out pem-certificate-and-key-file
这是错误/失败是什么也许更多的细节?
使用以下命令可以轻松完成将 JKS KeyStore 转换为单个 PEM 文件:
keytool -list -rfc -keystore "myKeystore.jks" | sed -e "/-*BEGIN [A-Z]*-*/,/-*END [A-Z]-*/!d" >> "myKeystore.pem"
解释:
keytool -list -rfc -keystore "myKeystore.jks"以 PEM 格式列出“myKeyStore.jks”KeyStore 中的所有内容。但是,它还会打印额外的信息。| sed -e "/-*BEGIN [A-Z]*-*/,/-*END [A-Z]-*/!d"过滤掉我们不需要的一切。我们只剩下 KeyStore 中所有内容的 PEM。>> "myKeystore.pem"将 PEM 写入文件“myKeyStore.pem”。
如果您没有安装 openssl 并且您正在寻找快速解决方案,可以使用名为的软件 门窗 这是非常有用的,而且下载量很小。
缺点是据我所知没有命令行。但从 GUI 中,导出 PEM 私钥非常简单:
- 打开您的 JKS 密钥存储
- 右键单击您的私钥条目并选择导出
选择私钥和证书以及 PEM 格式
尝试密钥存储资源管理器 http://keystore-explorer.org/
密钥库资源管理器是一个开源GUI更换为Java命令行实用程序和keytool中的jarsigner。它的OpenSSL / PKCS12为好。
首先创建密钥库文件为
C:\Program Files\Android\Android Studio\jre\bin>keytool -keystore androidkey.jks -genkeypair -alias androidkey
输入密钥库密码:
重新输入新的密码:
您的名字和姓氏是什么?未知: 名字 姓氏
您的组织部门的名称是什么?未知: 移动开发
您的组织名称是什么?未知: 你的公司名称
您所在城市或地区的名称是什么?您所在的州或省的名称是什么?
该单位的两个字母的国家代码是什么?未知:IN //按回车键
现在它会要求确认
CN=名字 姓氏、OU=移动开发、O=您的公司名称、L=城市名称、ST=州名称、C=IN 是否正确?[不]: 是的
输入密钥密码(如果返回与密钥库密码相同):如果您想要相同的密码,请按 Enter
密钥已经生成,现在您可以使用以下命令简单地获取 pem 文件
C:\Program Files\Android\Android Studio\jre\bin>keytool -export -rfc -alias androidkey -file android_certificate.pem -keystore androidkey.jks
输入密钥库密码:
证书存储在文件中
首先将密钥库从 JKS 转储到 PKCS12
1. keytool -importkeystore -srckeystore ~/.android/debug.keystore -destkeystore middle.p12 -srcstoretype JKS -deststoretype PKCS12
将新的 pkcs12 文件转储到 pem 中
- openssl pkcs12 -in middle.p12 -nodes -out middle.rsa.pem
您应该拥有 pem 格式的证书和私钥。把他们分开。将“开始证书”和“ End证书”之间的零件放入cert.x509.pem将零件放在“ Begin RSA Private Key”和“ End RSA Private Key”之间可以通过Signapk
3. openssl pkcs8 -topk8 -outform DER -in private.rsa.pem -inform PEM -out private.pk8 -nocrypt
转换一个Java密钥到PEM格式
所有的最准确的答案必须,这是不可能的。
一个Java密钥仅用于加密密钥和证书的存储设施而PEM是X.509证书的文件格式仅
