Преобразование хранилища ключей JKS, подписанного CA, в PEM

Question

Преобразование хранилища ключей JKS, подписанного CA, в PEM

У меня есть хранилище ключей JKS с сертификатом, подписанным CA. Мне нужно экспортировать его в формат PEM, чтобы использовать с nginx. Мне нужно сделать это так, чтобы он включал всю цепочку, чтобы мой клиент мог проверить подпись.

Если я сделаю что-то вроде:

keytool -exportcert -keystore mykestore.jks -file mycert.crt -alias myalias
openssl x509 -out mycert.crt.pem -outform pem -in mycert.crt -inform der

Он включает только сертификат самого низкого уровня. Проверка не удалась:

$ openssl s_client -connect localhost:443
CONNECTED(00000003)
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=123123
... (only one certificate!)
...
SSL-Session:
    ...
    Verify return code: 21 (unable to verify the first certificate)

Из Java:

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

В то время как Jetty с тем же хранилищем ключей JKS выводит следующее:

$ openssl s_client -connect localhost:8084
CONNECTED(00000003)
depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
...
SSL-Session:
    Verify return code: 19 (self signed certificate in certificate chain)

Хотя openssl возвращает ту ошибку 19, это больше не проблема для Java HttpsURLConnection и это все, что меня волнует.

Итак, как я могу экспортировать всю цепочку из JKS в формате (например, PEM), который работает как с сервером nginx, так и с клиентом Java? Что мне не хватает?

13

openssl keystore keytool pem jks

задан Konrad Garus 23 September 2011 в 12:30

0 ответов

Другие вопросы по тегам:

openssl keystore keytool pem jks

Преобразование хранилища ключей JKS, подписанного CA, в PEM

0 ответов

Похожие вопросы: