Jak zaimportować certyfikat .cer do magazynu kluczy Java?

Podczas opracowywania klienta Java Webservice napotkałem problem. Uwierzytelnianie dla usługi internetowej polega na użyciu certyfikatu klienta, nazwy użytkownika i hasła. Certyfikat klienta, który otrzymałem od firmy za usługą internetową, ma .cerformat. Kiedy sprawdzam plik za pomocą edytora tekstu, ma on następującą zawartość:

-----BEGIN CERTIFICATE-----
[Some base64 encoded data]
-----END CERTIFICATE-----

Mogę zaimportować ten plik jako certyfikat w Internet Explorerze (bez konieczności podawania hasła!) I użyć go do uwierzytelnienia w usłudze internetowej.

Byłem w stanie zaimportować ten certyfikat do magazynu kluczy, najpierw usuwając pierwszą i ostatnią linię, konwertując na nowe znaki unix i uruchamiając dekodowanie base64. Plik wynikowy można zaimportować do magazynu kluczy (za pomocą keytoolpolecenia). Gdy wymieniam wpisy w magazynie kluczy, ten wpis jest tego typu trustedCertEntry. Z powodu tego typu wpisu (?) Nie mogę użyć tego certyfikatu do uwierzytelnienia w usłudze sieciowej. Zaczynam myśleć, że podany certyfikat jest certyfikatem publicznym używanym do uwierzytelniania ...

Rozwiązaniem, które znalazłem, jest zaimportowanie certyfikatu do IE i wyeksportowanie go jako .pfxpliku. Ten plik można załadować jako plik kluczy i można go użyć do uwierzytelnienia w usłudze sieciowej. Nie mogę jednak oczekiwać, że moi klienci wykonają te kroki za każdym razem, gdy otrzymają nowy certyfikat. Chciałbym więc załadować .cerplik bezpośrednio do Java. jakieś pomysły?

Informacje dodatkowe: firma odpowiedzialna za serwis internetowy powiedziała mi, że należy zażądać certyfikatu (przy użyciu IE i strony internetowej) z komputera i użytkownika, który zaimportuje certyfikat później.

• Jeśli chcesz się uwierzytelnić, potrzebujesz klucza prywatnego - nie ma innej opcji.
• Certyfikat jest kluczem publicznym z dodatkowymi właściwościami (takimi jak nazwa firmy, kraj, ...) podpisanym przez niektóre urzędy certyfikacji, które gwarantują, że załączone właściwości są prawdziwe.
• .CERpliki są certyfikatami i nie mają klucza prywatnego. Klucz prywatny jest .PFX keystorezwykle dostarczany z plikiem. Jeśli naprawdę się uwierzytelniasz, to dlatego, że już zaimportowałeś klucz prywatny.

• Zwykle możesz importować .CERcertyfikaty bez żadnych problemów

  keytool -importcert -file certificate.cer -keystore keystore.jks -alias "Alias" 

Importowanie .cerpliku certyfikatu pobranego z przeglądarki (otwórz adres URL i wyszukaj szczegóły) do magazynu kluczy cacerts w java_home\jre\lib\securitymnie działało, w przeciwieństwie do prób generowania i używania własnego magazynu kluczy.

1. Idź do swojego java_home\jre\lib\security
2. ( Windows ) Otwórz tam wiersz komend administratora za pomocą cmdi CTRL+ SHIFT+ENTER
3. Uruchom keytool, aby zaimportować certyfikat:
   • (Zamień yourAliasNamei path\to\certificate.cerodpowiednio)

 ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias yourAliasName -file path\to\certificate.cer

W ten sposób nie musisz określać żadnych dodatkowych opcji JVM, a certyfikat powinien być rozpoznawany przez środowisko JRE.

Oto kod, którego używałem do programowego importowania plików .cer do nowego magazynu kluczy.

import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
//VERY IMPORTANT.  SOME OF THESE EXIST IN MORE THAN ONE PACKAGE!
import java.security.GeneralSecurityException;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;

//Put everything after here in your function.
KeyStore trustStore  = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);//Make an empty store
InputStream fis = /* insert your file path here */;
BufferedInputStream bis = new BufferedInputStream(fis);

CertificateFactory cf = CertificateFactory.getInstance("X.509");

while (bis.available() > 0) {
    Certificate cert = cf.generateCertificate(bis);
    trustStore.setCertificateEntry("fiddler"+bis.available(), cert);
}

Nie powinieneś wprowadzać żadnych zmian w certyfikacie. Czy na pewno używasz właściwego polecenia importu?

Poniższe działa dla mnie:

keytool -import -alias joe -file mycert.cer -keystore mycerts -storepass changeit

gdzie mycert.cer zawiera:

-----BEGIN CERTIFICATE-----
MIIFUTCCBDmgAwIBAgIHK4FgDiVqczANBgkqhkiG9w0BAQUFADCByjELMAkGA1UE
BhMCVVMxEDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAY
...
RLJKd+SjxhLMD2pznKxC/Ztkkcoxaw9u0zVPOPrUtsE/X68Vmv6AEHJ+lWnUaWlf
zLpfMEvelFPYH4NT9mV5wuQ1Pgurf/ydBhPizc0uOCvd6UddJS5rPfVWnuFkgQOk
WmD+yvuojwsL38LPbtrC8SZgPKT3grnLwKu18nm3UN2isuciKPF2spNEFnmCUWDc
MMicbud3twMSO6Zbm3lx6CToNFzP
-----END CERTIFICATE-----

Narzędzie GUI typu open source jest dostępne na keystore-explorer.org

KeyStore Explorer

KeyStore Explorer jest otwartym zamiennikiem GUI dla narzędzia i narzędzia jarsigner z linii poleceń Java. KeyStore Explorer prezentuje ich funkcjonalność i nie tylko, poprzez intuicyjny graficzny interfejs użytkownika.

Pomogą Ci następujące ekrany (pochodzą z oficjalnej strony)

Domyślny ekran wyświetlany po uruchomieniu polecenia:

shantha@shantha:~$./Downloads/kse-521/kse.sh

Idź do ExamineiExamine a URL opcję, a następnie podaj adres URL, który chcesz zaimportować.

Okno wyników będzie wyglądać jak poniżej, jeśli podasz link do witryny Google.

Jest to jeden z przypadków użycia, a reszta należy do użytkownika (wszystkie kredyty trafiają do keystore-explorer.org )

Certyfikat, który już masz, jest prawdopodobnie certyfikatem serwera lub certyfikatem używanym do podpisywania certyfikatu serwera. Będziesz go potrzebował, aby Twój klient usługi WWW mógł uwierzytelnić serwer.

Ale jeśli dodatkowo musisz przeprowadzić uwierzytelnianie klienta za pomocą protokołu SSL, musisz uzyskać własny certyfikat, aby uwierzytelnić klienta usługi WWW. W tym celu musisz utworzyć żądanie certyfikatu; proces ten obejmuje utworzenie własnego klucza prywatnego i odpowiedniego klucza publicznego oraz dołączenie tego klucza publicznego wraz z niektórymi informacjami (e-mail, nazwa, nazwa domeny itp.) do pliku zwanego żądaniem certyfikatu. Następnie wysyłasz tę prośbę o certyfikat do firmy, która już o to poprosiła, a ona utworzy Twój certyfikat, podpisując Twój klucz publiczny za pomocą swojego klucza prywatnego, i odeśle Ci plik X509 z Twoim certyfikatem, który możesz teraz dodaj do swojego magazynu kluczy, a będziesz gotowy do połączenia z usługą internetową za pomocą protokołu SSL wymagającego uwierzytelnienia klienta.

Aby wygenerować żądanie certyfikatu, użyj „keytool -certreq -alias -file -keypass -keystore”. Wyślij wynikowy plik do firmy, która zamierza go podpisać.

Po odzyskaniu certyfikatu uruchom polecenie „keytool -importcert -alias -keypass -keystore”.

Może być konieczne użycie -storepass w obu przypadkach, jeśli magazyn kluczy jest chroniony (co jest dobrym pomysłem).

Oto skrypt, którego użyłem do wsadowego zaimportowania kilku plików CRT z bieżącego katalogu do magazynu kluczy Java. Po prostu zapisz to w tym samym folderze co twój certyfikat i uruchom go w następujący sposób:

./import_all_certs.sh

import_all_certs.sh

KEYSTORE="$(/usr/libexec/java_home)/jre/lib/security/cacerts";

function running_as_root()
{
  if [ "$EUID" -ne 0 ]
    then echo "NO"
    exit
  fi

  echo "YES"
}

function import_certs_to_java_keystore
{
  for crt in *.crt; do 
    echo prepping $crt 
    keytool -import -file $crt -storepass changeit -noprompt --alias alias__${crt} -keystore $KEYSTORE
    echo 
  done
}

if [ "$(running_as_root)" == "YES" ]
then
  import_certs_to_java_keystore
else
  echo "This script needs to be run as root!"
fi

Oto jak to dla mnie działało:

1. Zapisz jako .txt dane certyfikatu w następującym formacie w edytorze tekstu

   ----- ROZPOCZNIJ CERTYFIKAT ----- [dane zserializowane przez Microsoft] ----- KONIEC CERTYFIKAT -----

2. Otwórz przeglądarkę Chrome (ten krok może działać również z innymi przeglądarkami) ustawienia> pokaż ustawienia zaawansowane> HTTPS / SSL> zarządzaj certyfikatami. Importuj .txt w kroku 1
3. Wybierz i wyeksportuj ten certyfikat w formacie zakodowanym w standardzie Base-64. Zapisz jako .cer
4. Teraz możesz użyć keytool lub Portecle, aby zaimportować go do magazynu kluczy Java