數字證書:如何將.cer文件導入到信任庫文件

1.概述

每當應用程序需要通過網絡與客戶端進行通信時,通常首選SSL協議。 SSL與數據加密一起,使諸如瀏覽器之類的應用程序必須在握手期間交換非對稱密鑰以建立安全連接。

通常,應用程序共享X.509證書格式的非對稱密鑰。因此,在SSL握手之前,客戶端必須將此類證書導入其信任庫文件中。

在本文中,我們將討論一些可用於將.cer格式的證書導入到客戶端的信任庫中的工具。

2. keytool命令

JDK發行版提供了一個keytool實用程序,我們可以使用它來管理Java密鑰庫(JKS)。此命令的最重要目的是生成用於測試客戶端和服務器之間的SSL通信的自簽名X.509證書。

我們還可以將自簽名或CA簽名的證書導入JKS文件並將其用作信任庫

keytool -importcert -alias trustme -file baeldung.cer -keystore cacerts



 Enter keystore password:



 Trust this certificate? [no]: yes

 Certificate was added to keystore

在這裡,我們使用keytool命令導入了一個自簽名的baeldung.cer我們可以將此證書導入任何Java密鑰庫。例如,此處顯示的是cacerts密鑰庫中添加證書。

如果現在在密鑰庫中列出證書,我們將看到一個別名trustme

keytool -list -keystore cacerts



 trustme, Oct 31, 2020, trustedCertEntry,

 Certificate fingerprint (SHA1): 04:40:6C:B0:06:65:EE:80:9A:90:A5:E9:DA:19:05:4A:AA:F2:CF:A4

3. openssl命令

到目前為止,我們僅討論了將證書導入到JKS文件中的問題。此類密鑰庫只能與Java應用程序一起使用。如果我們必須用其他語言實現SSL庫或在多種語言平台上使用相同的證書,則更有可能使用PKCS12密鑰庫

要將證書導入到PKCS12密鑰庫中,我們還可以使用[openssl](https://www.openssl.org/)

openssl pkcs12 -export -in baeldung.cer -inkey baeldung.key -out baeldung.keystore -name trustme

此命令將導入名為證書baeldung.cer到密鑰庫baeldung.keystore用別名trustme.

我們可以在密鑰庫中看到導入的證書:

openssl pkcs12 -info -in baeldung.keystore

 Enter Import Password:

 MAC: sha1, Iteration 2048

 MAC length: 20, salt length: 8

 PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048

 Certificate bag

 Bag Attributes

 friendlyName: trustme

 localKeyID: F4 36 4E 19 E4 E4 E7 65 74 56 FB 50 40 02 68 8B EC F0 4D B3

 subject=C = IN, ST = DE, L = DC, O = BA, OU = AU, CN = baeldung.com



 issuer=C = IN, ST = DE, L = DC, O = BA, OU = AU, CN = baeldung.com



 -----BEGIN CERTIFICATE-----

 MIIFkTCCA3mgAwIBAgIUL/OjGExnppeZkiNNh0i2+TPHaCQwDQYJKoZIhvcNAQEL

 BQAwWDELMAkGA1UEBhMCSU4xCzAJBgNVBAgMAkRFMQswCQYDVQQHDAJEQzELMAkG

 A1UECgwCQkExCzAJBgNVBAsMAkFVMRUwEwYDVQQDDAxiYWVsZHVuZy5jb20wHhcN

 MjAxMTAzMTIwMjI5WhcNMjExMTAzMTIwMjI5WjBYMQswCQYDVQQGEwJJTjELMAkG

 A1UECAwCREUxCzAJBgNVBAcMAkRDMQswCQYDVQQKDAJCQTELMAkGA1UECwwCQVUx

 FTATBgNVBAMMDGJhZWxkdW5nLmNvbTCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCC

 AgoCggIBAK/XF/xmqQRJlTx2Vtq70x1KFwkHJEcZOyFbQP7O9RgicvMTAnbZtKpS

 BSVjwroklIr4OVK4wmwdaTnlIm22CsFrbn+iBVL00tVs+sBYEcgO5nphVWGFbvHl

 Q3PO4vTedSyH1qIyYrrhAn8wYvzdmr2g6tRwBX8K5H948Zb32Xbp5r9aR5M2i8Qz

 fc0QasJUM5b71TNt8Qcsru3pFKj5hUMBTNrGCQrr6vrADTcG0YHuVSMeJId7f67h

 l0vEY0BmRPnWNwGe+Sg/jqOWH9WWvkk/umkEQNWCQZaXZNZZ8jl5WMKFnmA7sPQ+

 UjZPabNOTxhz6fJv5nJu7aMS/6tUWO0SdQ+ctO3HgR42wtBPoEOOuFMP6OqHI4hf

 CXFTYg6aLwxFJP7LngfRvETgzVlsb9L/m++JBeoWRqpWaQUEgxDYJGFGA5dwQJaf

 f24d042i44X0WqBBoWLjSQd/JFVH5MF17waiYpxFBOgpz3XEM/1j+juJPVut2k96

 3ecgR54iKILbibizPUojn7t3AFT1Ug8exdefHdf+QsL8/L5+8/xOYkp/pnglQJJl

 W0Lq4Sh9LWiux9XVdY6n2UYf/crgLSHatVkPa26cysdXhiiEPn4yYr2AdYVf0Xr5

 W5PULufdi0HW2Eja/TfeXoBQtkdidqP8SMW+DwqafX80s37bZZBvAgMBAAGjUzBR

 MB0GA1UdDgQWBBQPHIpCFhAy3kGAbzHpXMjXCMVQRzAfBgNVHSMEGDAWgBQPHIpC

 FhAy3kGAbzHpXMjXCMVQRzAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUA

 A4ICAQBzOK52I7lDX+7CHy6cQ8PnLZjAD4S5qC1P9dMy50E9N6Tmw2TiPbWl9CnU

 7a/kVO6xDJDmNMnqRbHmlZclJaTFv6naXSX27PdIWjhwAfLjNa+FO9JNwMgiP25I

 ISVjyrA3HwbhFnMs5FyBW9hbxfQ+X2Q2ooa+J3TKU7FImuDRKF3Sdb63+/j0go8S

 5/TsoYpQxg86xbWf6IYGYwegd2SPSWUZ0HQSobZ7fRA7Y0EyPKgyqsBbmDtJ+X1g

 P8Kep4N1oocc7ZkkX4pNfXTgXib9fUkKMAfRJz8w62z8I1OM61bciW7V2VSp/Y5p

 iTihyuwO0aHG+YTnsr3qFrSFQLQUjCeBvx+euQelsGm8W9xM9YfASXiaEwCmb9PO

 i/umD70J1e0HFDay9FW6mMoCCEBTZIF9ARqzhHgg9fi9iH2ctrsxadFAlOTFp5+/

 p+nxrencfvc4CP6aHoqkE45HpMBoNDAxRMVd/FRzIG2as0q5At873MNFXP6WxmQV

 4KGIhteNLyrXk82yHdHfm1EENTI7OEst/Fc8O3fFy9wn0OvoHIuCv1FVCq4Gnjmq

 vNnBnGldrYruCNvj5KT6U14FFdK/5Zng0nSky4oMTs49zt392bdYi31SHWeATdw/

 PscFRdig2stoI8ku6R+K7XvmseGzPmUW4K2IWU0zdRP2a4YyvA==

 -----END CERTIFICATE-----

 PKCS7 Data

 Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048

 Bag Attributes

 friendlyName: trustme

 localKeyID: F4 36 4E 19 E4 E4 E7 65 74 56 FB 50 40 02 68 8B EC F0 4D B3

 Key Attributes: <No Attributes>

因此,我們已成功將證書導入到PKCS12密鑰庫中。因此,此密鑰庫現在可以用作SSL客戶端應用程序(如HTTP客戶端庫)中的信任庫文件。同樣,此文件也可以用作SSL服務器應用程序(例如Tomcat)中的密鑰庫。

4。結論

在本文中,我們討論了用於管理數字證書的兩種流行的SSL工具-OpenSSL和Java Keytool。我們進一步使用keytoolopenssl命令將.cer格式的證書分別導入到JKS和PKCS12文件中