将证书链添加到p12(pfx)证书
问题描述 投票:15回答:2
我在java和cxf中有应用程序,它使用客户端证书连接到Web服务。
我从Web Service所有者那里获得了证书
- certificate.p12
- certificate.pem
- certificate.crt
- trusted_ca.cer
- root_ca.cer
我有直接将此p12证书转换为java所需的工作jks密钥库的问题。
我这样做了:
keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore certificate1.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret
keytool -import -alias trusted -file trusted_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret
但这个jks不起作用,我在使用这个certificate1.jks时得到HTTP响应'403:Forbidden'
但是,如果我将此p12(pfx)证书导入Internet Explorer,然后将此证书从IE导出为pfx格式,请选中“包括证书路径中的所有证书”复选框并使用:
keytool -importkeystore -srckeystore certificate.pfx -srcstoretype PKCS12 -destkeystore certificate2.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret
keytool -import -alias trusted -file trusted_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret
然后一切正常,我可以使用certificate.jks连接到Web服务。
我发现原始certificate.p12(pfx)只包含一个条目(证书链长度:1):
keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v
*******************************************
*******************************************
Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=MyCompany, [email protected], O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
DigitalSignature
Key_Encipherment
]
...
*******************************************
*******************************************
而从IE导出的“包含证书路径中的所有证书”的certificate.pfx包含带有第二个可信CA证书的证书链(证书链长度:2):
keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v
*******************************************
*******************************************
Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=MyCompany, [email protected], O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
DigitalSignature
Key_Encipherment
]
...
Certificate[2]:
Owner: CN=Trusted CA, O=ble ble ble, C=PL
Issuer: CN=ROOT CA, O=ble ble ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
MD5: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
*******************************************
*******************************************
因此,为了解决我的问题,我需要将p12证书与链接到可信CA证书。我可以通过将p12导入IE然后导出回“使用证书路径中的所有证书”来完成此操作。
如果没有IE使用keytool或其他工具,我怎么能这样做?
酒吧
2个回答
34
投票
投票
自己的回答。
我想出了如何使用OpenSSL执行此操作:
openssl pkcs12 -in certificate.p12 -out clientcert.pem -nodes -clcerts
openssl x509 -in trusted_ca.cer -inform DER -out trusted_ca.pem
openssl x509 -in root_ca.cer -inform DER -out root_ca.pem
cat clientcert.pem trusted_ca.pem root_ca.pem >> clientcertchain.pem
openssl pkcs12 -export -in clientcertchain.pem -out clientcertchain.pfx
0
投票
投票
如果您在Windows操作系统中工作,可以像往常一样通过IIS安装证书,然后打开mmc.exe - >文件 - >添加/删除管理单元 - >双击“证书”选择“计算机帐户”,然后,完成,好的。
如果需要,可以将证书从CA添加到“中间证书颁发机构”或“受信任的根证书颁发机构”中。
然后转到“Web Hosting”,这里必须是你的webSite证书,选择证书,左键单击它,选择Export并按照向导,要检查的重要事项是“Include Private Key”,包括链上的所有证书,导出所有扩展属性,必须设置密码,选择输出flie名称,就是这样。现在您拥有一个包含完整链的证书。不再有Facebook或类似的问题。
最新问题
- 无法在 Visual Studio 2022 中编辑数据库连接字符串
- AWS Lamda 和 Layer 的 Nodejs ES6 导入问题
- 使用Python Flask和JS更改视频流源
- Visual Studio Code - 无法启动浏览器:“无法在您的系统上找到浏览器的安装。”
- 我收到此错误,错误:监听 EADDRINUSE:地址已在使用 :::5002,抛出错误; // 未处理的“错误”事件
- 如何通过rc.local重启Linux后台进程?
- 如何将 eager_load 和 select 一起使用?
- (LINUX)使用echo和grep删除多个文件
- 如何告诉 debezuim Mysql 源连接器停止重新拍摄 kafka 主题中现有表的快照?
- 使用 redux-toolkit 的 useCallback 和 useMemo 是否有性能提升?
- 基于 WooCommerce 产品类别的自定义数量输入步骤
- 在 Windows Vista 上安装 Python 3.4.4 后检查版本会出现意外结果
- 基于特定 WooCommerce 产品类别的自定义数量输入步骤
- 覆盖 WooCommerce 数量输入步骤未按预期工作。添加到购物车时,金额会被截断
- 处理两个可执行文件之间通信的正确方法是什么?
- Excel 功能区切换按钮:缩小以适合
- JQuery 更新页面上的按钮链接
- 扩展:如何解决错误“未捕获错误:扩展上下文无效”和“警告:React.jsx:类型无效 - 需要一个字符串”?
- ARM64 的 TEB 表示,xpr 寄存器
- 如何仅使用 CSS 制作网格(如方格纸网格)?
© www.soinside.com 2019 - 2024. All rights reserved.