web-dev-qa-db-ja.com

CA署名のJKSキーストアをPEMに変換します

CAによって署名された証明書を持つJKSキーストアがあります。 nginxで使用するには、PEM形式でエクスポートする必要があります。クライアントが署名を検証できるように、チェーン全体が含まれるようにする必要があります。

私が次のようなことをした場合:

keytool -exportcert -keystore mykestore.jks -file mycert.crt -alias myalias
openssl x509 -out mycert.crt.pem -outform pem -in mycert.crt -inform der

最下位レベルの証明書のみが含まれます。検証は失敗します:

$ openssl s_client -connect localhost:443
CONNECTED(00000003)
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 /O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=123123
... (only one certificate!)
...
SSL-Session:
    ...
    Verify return code: 21 (unable to verify the first certificate)

Javaから:

Sun.security.validator.ValidatorException: PKIX path building failed: Sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

一方、同じJKSキーストアを持つJettyは、次のように出力します。

$ openssl s_client -connect localhost:8084
CONNECTED(00000003)
depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/O=*.mydomain.com/OU=Domain Control Validated/CN=*.mydomain.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=1234
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
...
SSL-Session:
    Verify return code: 19 (self signed certificate in certificate chain)

Opensslはその19エラーを返しますが、Java HttpsURLConnectionの問題ではなくなり、私が気にするのはそれだけです。

では、どうすればチェーン全体をnginxサーバーとJavaクライアント?何が足りないのですか?

13
Konrad Garus

私が頻繁に遭遇するかなり大きな問題は、証明書を取得するためのCSRを生成するときに、キーストア(Sun形式のjksキーストア)が.keyを出力しないか、.keyを取得するための機能を提供しないことです。そのため、私は常に.pem/.crtになり、Apache2で使用する方法がありませんでした。Apache2はTomcatのようにJKSキーストアを読み取ることができませんが、代わりにパッケージ化されていない.key + .pem /.crtペアが必要です。

開始するには、既存のキーストアの「コピー」を取得して、以下の5番目のコマンドにスキップするか、次のように独自のキーストアを作成します。

C:\Temp>keytool -genkey -alias Tomcat -keyalg RSA -keystore
 keystore.jks -keysize 2048 -validity 730 -storepass changeit

次に、オプションで、次の3つのステップのプロセスで、2年間のCSRを作成し、CSR応答をインポートします。

C:\Temp>keytool -certreq -alias mydomain -keystore keystore.jks
 -file mydomain.csr
C:\Temp>keytool -import -trustcacerts -alias root -file
 RootPack.crt -keystore keystore.jks -storepass changeit
C:\Temp>keytool -import -trustcacerts -alias Tomcat -file mydomain.response.crt
 -keystore keystore.jks -storepass changeit

これを機能させるには、Tomcatアプリケーションサーバーに使用するJKSキーストアファイルがすでにある場合は、次の手順に従います。

まず、DER(バイナリ)形式の証明書を「exported-der.crt」というファイルに取得します。

C:\Temp>keytool -export -alias Tomcat -keystore keystore.jks -file
 exported-der.crt

次に、それを表示して確認します。

C:\Temp>openssl x509 -noout -text -in exported-der.crt -inform der

次に、それをPEM形式に変換する必要があります。これは、ApacheなどのアプリケーションやOpenSSLでPKCS12変換を行うためにより広く使用されています。

C:\Temp>openssl x509 -in exported-der.crt -out exported-pem.crt 
-outform pem -inform der

次に、ExportPrivをダウンロードして使用し、暗号化されていない秘密鍵をキーストアから取得します。

C:\Temp>Java ExportPriv <keystore> <alias> <password> > exported-pkcs8.key

お気づきかもしれませんが、秘密鍵はPKCS#8PEM形式でエクスポートされています。 Apacheで動作するRSA形式(PKCS#12 ??)にするには、次のコマンドを発行できます。

C:\Temp>openssl pkcs8 -inform PEM -nocrypt -in exported-pkcs8.key
 -out exported-pem.key
11
djangofan

JKSファイルをPKCS12ファイルに簡単に変換できます。

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore keystore.p12

次に、次の方法で秘密鍵と証明書を抽出できます。

openssl pkcs12 -in keystore.p12
10

keytoolでチェーンを抽出できるかどうかはわかりませんが、小さなJavaプログラム:

public void extract(KeyStore ks, String alias, char[] password, File dstdir) throws Exception
{
    KeyStore.PasswordProtection pwd = new KeyStore.PasswordProtection(password);
    KeyStore.PrivateKeyEntry entry = (KeyStore.PasswordKeyEntry)ks.getEntry(alias, pwd);
    Certificate[] chain = entry.getCertificateChain();
    for (int i = 0; i < chain.length; i++) {
        Certificate c = chain[i];
        FileOutputStream out = new FileOutputStream(new File(dstdir, String.format("%s.%d.crt", alias, i)));
        out.write(c.getEncoded());
        out.close();
    }
}

このコードは、送信されたディレクトリにチェーンのすべての証明書をDER形式で書き込む必要があります。

0
Jcs