Hinzufügen von Zertifikat-Kette p12(pfx) Zertifikat

Ich habe das angegebene Modul wurde in java und cxf die Verbindung zu WebServices mit client-Zertifikat.

Bekam ich Zertifikate bilden WebService Inhaber

  • Zertifikat.p12
  • Zertifikat.pem -
  • Zertifikat.crt
  • trusted_ca.cer
  • root_ca.cer

Problem habe ich mit einfach konvertieren das p12 Zertifikat zu arbeiten jks bestimmten keystore von java.

Habe ich dieses:

keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore certificate1.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret
keytool -import -alias trusted -file trusted_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret

aber das jks funktioniert nicht und ich bekomme die HTTP-Antwort '403: Forbidden', wenn die Nutzung dieser certificate1.jks

Aber wenn ich den import dieses p12(pfx) - Zertifikat für den Internet Explorer und dann exportieren Sie das Zertifikat aus dem IE zu pfx-format auswählen "alle Zertifikate im Zertifizierungspfad" Kontrollkästchen, und verwenden Sie:

keytool -importkeystore -srckeystore certificate.pfx -srcstoretype PKCS12 -destkeystore certificate2.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret
keytool -import -alias trusted -file trusted_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret

Dann funktioniert alles einwandfrei und ich kann eine Verbindung zum WebService mit certificate2.jks.

Ich fand, dass das original-Zertifikat.p12(pfx) enthält nur einen Eintrag (Certificate chain length: 1):

keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v


*******************************************
*******************************************

Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=MyCompany, EMAILADDRESS=my.email@domain.com, O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
         MD5:  XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         Signature algorithm name: SHA1withRSA
         Version: 3

Extensions:

#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

...

*******************************************
*******************************************

beim Zertifikat.pfx exportiert IE mit "alle Zertifikate im Zertifizierungspfad" enthält eine Zertifikat-Kette mit dem zweiten Vertrauenswürdiges CA-Zertifikat (Certificate chain length: 2):

keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v



*******************************************
*******************************************

Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=MyCompany, EMAILADDRESS=my.email@domain.com, O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
         MD5:  XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         Signature algorithm name: SHA1withRSA
         Version: 3

Extensions:

#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

...

Certificate[2]:
Owner: CN=Trusted CA, O=ble ble ble, C=PL
Issuer: CN=ROOT CA, O=ble ble ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
         MD5:  XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         Signature algorithm name: SHA1withRSA
         Version: 3

Extensions:


*******************************************
*******************************************

Also um mein problem zu lösen brauche ich, um p12-Zertifikat mit Kette zu den vertrauenswürdigen CA-Zertifikats.
Ich kann dies tun, indem Sie importieren p12 DH und dann den Export wieder mit "alle Zertifikate im Zertifizierungspfad".

Wie kann ich dies tun ohne den IE mithilfe von keytool oder einem anderen tool?

Bary

InformationsquelleAutor bary | 2013-09-13

  1. 33

    Eigene Antwort.

    Ich herausgefunden, wie dies mit OpenSSL:

    openssl pkcs12 -in certificate.p12 -out clientcert.pem -nodes -clcerts
openssl x509 -in trusted_ca.cer -inform DER -out trusted_ca.pem
openssl x509 -in root_ca.cer -inform DER -out root_ca.pem
cat clientcert.pem trusted_ca.pem root_ca.pem >> clientcertchain.pem
openssl pkcs12 -export -in clientcertchain.pem -out clientcertchain.pfx
    Hat den trick für mich zu.
    Hinzufügen, um die -nokeys option, um den letzten Befehl. Ich habe OpenSSL-1.0.1 e-fips 11 Feb 2013
    Ich verbrachte Stunden auf der Suche für diese Funktionalität. Fantastisch! Ich brauchte es für Tomcat 7.0.63 auf Windows 2008 R2.
    Stack Overflow ist eine Website, die für die Programmierung und Entwicklung Fragen. Diese Frage scheint off-topic, weil es nicht um die Programmierung oder Entwicklung. Siehe Was für Themen kann ich Fragen hier in der Hilfe. Vielleicht Super User oder Unix & Linux Stack Exchange wäre ein besserer Ort, um zu Fragen. Siehe auch Wo Stelle ich Fragen über Dev-Ops?
    Sie würde Sie nur die -nokeys option, wenn Sie nicht soll der private Schlüssel gespeichert werden, die daraus resultierenden pfx-Datei

    InformationsquelleAutor bary

Schreibe einen Kommentar