如何生成Java PKCS12存储以连接到常规SSL网站?
我们在https上运行标准的web API,并使用常规购买的SSL证书。我们的客户端只是通过https访问它,证书通过默认的系统RootCA受信任 一个新客户端正在使用一个Java通信服务器,该服务器需要PKCS12密钥库中的证书。如何从key/csr/crt/pem文件生成PKS12密钥库 我做了一些研究,大多数例子都需要私钥。当然,我不想与客户端共享我们的私钥 PKCS12密钥库是否可以在没有私钥的情况下创建,类似于浏览器中的标准RootCA如何生成Java PKCS12存储以连接到常规SSL网站?,java,ssl,public-key-encryption,pkcs#12,Java,Ssl,Public Key Encryption,Pkcs#12,我们在https上运行标准的web API,并使用常规购买的SSL证书。我们的客户端只是通过https访问它,证书通过默认的系统RootCA受信任 一个新客户端正在使用一个Java通信服务器,该服务器需要PKCS12密钥库中的证书。如何从key/csr/crt/pem文件生成PKS12密钥库 我做了一些研究,大多数例子都需要私钥。当然,我不想与客户端共享我们的私钥 PKCS12密钥库是否可以在没有私钥的情况下创建,类似于浏览器中的标准RootCA 谢谢,蓝美洲狮是的 尽管PFX-now-PKCS
谢谢,蓝美洲狮是的 尽管PFX-now-PKCS12主要设计用于将私钥、证书和链证书作为一个束存储或传输,并且最常用于此,但它能够存储一个或多个与任何私钥不匹配的“单独”证书。您是对的,希望连接到您的客户端应该在其信任库中理想地拥有服务器证书链的根证书,或者服务器证书本身,但绝对不是您的私钥
openssl openssl pkcs12 -export -in certfile.pem [-name $name] -nokeys -out blah.p12
# if you don't specify -name it defaults to 1 (the digit one) which can be mildly confusing
# instead of being prompted for the password you can use -passout with several forms
# described on the openssl man page, but consider the warning below
jre8/bin/keytool -importcert -keystore blah.p12 -storetype pkcs12 -file $certfile [-alias $name]
jre9+/bin/keytool -importcert -keystore blah.p12 -file $certfile [-alias $name]
mykey-storepass$pw-noprompt但是user207421(大致上)是正确的,使用这样一个信任库可以中断从他们的系统建立的其他SSL/TLS连接,至少是从同一个JVM建立的,除非单独的调用指定单独的、独立的信任库,并且如果他们已经编码,他们将知道如何处理(并要求)更简单的证书格式,例如PEM。没有PKCS#12证书。然而,PKCS#12密钥库或信任库是存在的。是哪一个?具体点。谢谢你指出这一点。客户刚刚声明他们需要PKCS12格式的证书。这是否回答了您的问题?在我脑海中,openssl pkcs12-in cert.crt-inkey key-out-export cert.p12应该已经关闭了。有时,LMGTFY链接是合适的答案……如果您是服务器,而客户机是客户机,那么他们需要的是PKCS#12信任库。仅由导出的证书组成,没有私钥。但他们真正需要的是将您的证书(按原样提供)导入到他们现有的信任库中,以便继续访问他们的其他站点。更好的是,您需要获得由他们已经信任的CA签署的服务器证书。正如你看起来已经做到的那样,新客户已经做了一些错误,你没有责任去纠正。他们的要求考虑不周。