KeyToolコマンドを使用してPKCS7(連鎖証明書)をJKSにインポートする
CAがPKCS#7形式のCERTを発行しました。その中に証明書(チェーン)があります。 KeytoolはPKCS7形式を認識しません。 OpenSSLツールでPKCS7形式の証明書をPEM形式に変換しようとしましたが、失敗します。 「PKCS7オブジェクトをロードできません」というエラーメッセージが表示されます。
PKCS7証明書チェーンをJKSにインポートするにはどうすればよいですか?
keytool reference for-importcertコマンドで読むことができるように:
ファイルcert_fileから証明書または証明書チェーン(後者はPKCS#7形式の応答で提供される)を読み取り、それを別名で識別されるキーストアエントリに格納します。ファイルが指定されていない場合、証明書またはPKCS#7応答がstdinから読み取られます。
keytoolは、X.509 v1、v2、v3証明書、およびそのタイプの証明書で構成されるPKCS#7形式の証明書チェーンをインポートできます。
PKCS7証明書をそのままインポートしてみてください。
ただし、常に機能するとは限りません。問題がある場合は、次のことを試してください(OpenSSLを使用)。
含まれているすべての証明書をPEMファイルに出力する
OpenSSL> pkcs7 -in initial_file.p7b -inform DER -print_certs -outform PEM -out certs_chain.pem新しいPEMファイル(certs_chain.pem)をエディターで開き、
-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----境界の外側にあるものをすべて削除します(保持のみ境界内のエンコードされたコンテンツ、証明書自体)、それを保存します。
これで、keytoolは、certs_chain.pemをcert_fileとして使用して、証明書をインポートする際に問題が発生しないはずです。
別のアプローチはIEを使用してX.509証明書を作成することです。WLSとIIS- http://techblog.fywservices.com/2012/10/establishing-weblogic-server-https-trust-of-iis-using-a-Microsoft-local-certificate-authority/