最近我们公司正在从LDAP迁移到LDAPS。
我们有一个应用程序(OBIEE),它在Weblogic上以Unix作为操作系统运行。我提供的说明指示使用java keytool命令导入证书。
我们的管理员向我发送了* .pfx文件,以导入到我们的服务器中。进行一些谷歌搜索之后,看起来* .pfx文件中可以包含一些证书。
我想出了如何提取证书,但是现在我的问题是是否需要导入证书,我可以使用keytool导入* .pfx文件吗?
从示例中,我看到了听起来不像这样,因此导致我提取了各个证书。但这又引出了我的第二个问题,即
如果我从* .pfx中提取了多个证书,我是否要导入所有证书?还是只是根?
不熟悉这种事情,任何建议将不胜感激。
*.pfx与其他格式类似,例如*.cert或*.crt,除了它也包含私有密钥(通常作为AD / LDAP服务器的客户端,您不需要它,除非您希望应用程序针对AD服务器验证自身身份,否则不需要它)私钥已为您的应用程序生成)。
因此,您不需要导入所有证书,只需导入服务器证书,您的应用程序就可以信任AD / LDAP服务器。
openssl pkcs12 -in myfile.pfx -out mycerts.crt -nokeys -clcerts
*.crt转换为*.ceropenssl x509 -inform pem -in mycerts.crt -outform der -out mycerts.cer
*.cer文件导入到您的JRE cacerts密钥库文件中。keytool -import -trustcacerts -alias ldap -file mycerts.cer -keystore /paht/to/your/jre/lib/security/cacerts
注:您可能可以跳过第2步,并将*.crt文件格式直接导入到密钥库cacerts文件中。