PKCS12-Java-Keystore von CA und Benutzer-Zertifikat in java

Ich habe vor kurzem im Auftrag der Spott ein Apple-Produkt (iPhone Configuration Utility) in Java. Eines der Teile habe ich ein wenig stecken, ist ein Teil über Exchange ActiveSync. Dort, ermöglicht es Ihnen, wählen ein Zertifikat aus Ihrem Schlüsselbund zu verwenden, da die Anmeldeinformationen für Ihr EAS-Konto. Nach einigen Recherchen fand ich, dass es eigentlich die Erstellung einer PKCS12-keystore -, das einsetzen der private Schlüssel des Zertifikats, den ich ausgewählt habe, und die Kodierung in XML. So weit keine große Sache. Wenn ich eine .p12-Datei mit dem Schlüsselbund-Sie lädt, ohne ein problem. Aber ich Laufe in ein problem, wenn ich versuche zu bringen, die über Java.

Sagen, dass ich den export einer dieser certs, die ich verwendet hatte früher mit dem .p12-Datei als .cer-Datei (dies ist, was wir erwarten, zu bekommen in der Umgebung). Nun wenn ich es hochladen in Java bekomme ich ein Zertifikat Objekt wie folgt...

KeyStore ks = java.security.KeyStore.getInstance("PKCS12");
ks.load(null, "somePassword".toCharArray());

CertificateFactory cf = CertificateFactory.getInstance("X.509", new BouncyCastleProvider());
java.security.cert.Certificate userCert  = cf.generateCertificate(new FileInputStream("/Users/me/Desktop/RecentlyExportedCert.cer"));

Aber wenn ich versuche,...

ks.setCertificateEntry("SomeAlias", userCert);

Bekomme ich die exception...

java.security.KeyStoreException: TrustedCertEntry not supported

Also von certs bewege ich mich auf Tasten. Aber mit den Zertifikaten (ich habe das CA-Cert), ich bin nur in der Lage, Zugriff auf den öffentlichen Schlüssel nicht der private. Und wenn ich versuche, fügen Sie den öffentlichen Schlüssel wie so...

java.security.cert.Certificate[] chain = {CACert};
ks.setKeyEntry("SomeAlias", userCert.getPublicKey().getEncoded(), chain);

Bekomme ich...

java.security.KeyStoreException: Private key is not stored as PKCS#8 EncryptedPrivateKeyInfo: java.io.IOException: DerValue.getOctetString, not an Octet String: 3

So, jetzt bin ich hier. Hat jemand eine Idee, wie man einen privaten Schlüssel aus .cer-Datei in einen PKCS12-keystore in Java? Bin ich noch auf dem richtigen Weg?

Vielen Dank im Voraus!

InformationsquelleAutor Staros | 2010-09-01

  1. 17

    PKCS#12-format ist gedacht für die Speicherung eines privaten Schlüssels mit einem Zertifikat der Kette, und beide sind erforderlich (obwohl Sie vielleicht nicht brauchen die ganze Kette).
    Obwohl die PKCS12 keystore-Typ macht einen guten job für die Zuordnung dieses format, um eine Java - KeyStore nicht alles wird unterstützt aus diesem Grund.

    Was Sie zu tun versuchen, in Ihrem ersten Versuch ist die Speicherung eines Zertifikats auf Ihrer eigenen, das wird nicht funktionieren.

    Was Sie zu tun versuchen, in Ihrem zweiten Versuch (ks.setKeyEntry("SomeAlias", userCert.getPublicKey().getEncoded(), chain)) ist für einen öffentlichen Schlüssel an Stelle von was sollte einen privaten Schlüssel (siehe - KeyStore#setKeyEntry).

    .cer Datei neigen dazu, nur für die Zertifikate, die keinen privaten Schlüssel (obwohl natürlich, die Verlängerung ist letztendlich auch nur ein Indiz). Wenn Sie exportieren Sie Ihre .cer Datei aus Schlüsselbund.app, Sie erhalten nicht den privaten Schlüssel mit (das ist, was die .p12 export-format).

    BEARBEITEN über KeychainStore:

    Wenn der Grund, warum Sie versuchen, diese Umwandlung zu tun ist letztendlich der Zugriff auf private Schlüssel und Zertifikate, die bereits im Schlüsselbund könnten Sie laden Sie von der KeychainStore direkt:

    KeyStore ks = KeyStore.getInstance("KeychainStore", "Apple");
ks.load(null, "-".toCharArray());

    Ein paar Hinweise:

    • Alle nicht-null nicht-leeres Passwort zur Verwendung des privaten Schlüssels (z.B. "-".toCharArray()), da der Zugang wird aufgefordert, die von der OS-security-service (wie in anderen Anwendungen).
    • Soweit ich bin mir bewusst, es gibt noch ein bug und es ermöglicht nur den Zugriff auf einen privaten Schlüssel/Zertifikat-paar (auch wenn eine Anzahl von Paaren von privaten Schlüssels/Zertifikats-Paare vorhanden sind in der keychain)
    +1, sehr gründlich!
    Spot auf. Danke für die info!

    InformationsquelleAutor Bruno

  2. 3

    http://www.docjar.com/html/api/org/bouncycastle/jce/examples/PKCS12Example.java.html

    So fügen Sie ein Zertifikat mit einem privaten Schlüssel zuordnen, um eine PKCS12-keystore.
    Wenn Sie mit client-Authentifizierung, die keystore enthalten muss auch der private Schlüssel, in diesem Fall verwenden Sie den KeyStore.getInstance("PKCS12").

    Wenn youre nicht mit client-Authentifizierung, die aber nur server-Authentifizierung(und die privaten Schlüssel werden nicht in den keystore, denn es gehört zum server), die besser zu verwenden
    KeyStore.getInstance("JKS"), als Sie können mehrere Zertifikate mit einem alias, einem keystore.

    Wenn Sie mit dem PKCS12, soweit ich weiß, können Sie nur hinzufügen, 1 Zertifikat(Sie müssen die ganze Zertifikats-Kette) assoziiert mit dem privaten Schlüssel, den Sie verwenden möchten für das Zertifikat.

    InformationsquelleAutor Fico

  3. -1

    Ich bin ein paar Jahre zu spät, um der Partei, aber das hat mich ein paar Stunden richtig arbeiten,
    also dachte ich, es war lohnt sich die Buchung einer funktionierende Lösung.
    Diese Lösung verwendet 1) Ein .p12 /PKCS12-Zertifikat
    und 2) eine ZERTIFIZIERUNGSSTELLE, die nicht in der Standard-TrustManager (und Sie Sie hinzufügen möchten programmgesteuert statt Sie auf die Standard-TrustManager). 3) Kein Dritter Kryptographie-Bibliotheken, nur HttpClient bringen Sie alle zusammen.

    Außerdem habe ich ein paar hilfreiche keytool und openssl Befehle in der JavaDoc für die mit Zertifikaten arbeiten, denn das ist eine Kunst für sich.

    //Stitch it all together with HttpClient
CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(getSSLSocketFactory()).build();


private SSLConnectionSocketFactory getSSLSocketFactory() {
    try {
        SSLContext sslContext = SSLContext.getInstance("TLS");

        KeyManager[] keyManager = getKeyManager("pkcs12", "path/to/cert.p12"), "p12_password"));
        TrustManager[] trustManager = getTrustManager("jks", "path/to/CA.truststore", "trust_store_password"));
        sslContext.init(keyManager, trustManager, new SecureRandom());

        return new SSLConnectionSocketFactory(sslContext);
    } catch (Exception e) {
        throw new RuntimeException("Unable to setup keystore and truststore", e);
    }
}

/**
 * Some useful commands for looking at the client certificate and private key:
 * keytool -keystore certificate.p12 -list -storetype pkcs12 -v
 * openssl pkcs12 -info -in certificate.p12
 */
private KeyManager[] getKeyManager(String keyStoreType, String keyStoreFile, String keyStorePassword) throws Exception {
    KeyStore keyStore = KeyStore.getInstance(keyStoreType);
    KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    keyStore.load(this.getClass().getClassLoader().getResourceAsStream(keyStoreFile), keyStorePassword.toCharArray());
    kmf.init(keyStore, keyStorePassword.toCharArray());

    return kmf.getKeyManagers();
}

/**
 * Depending on what format (pem /cer /p12) you have received the CA in, you will need to use a combination of openssl and keytool
 * to convert it to JKS format in order to be loaded into the truststore using the method below. 
 *
 * You could of course use keytool to import this into the JREs TrustStore - my situation mandated I create it on the fly.
 *
 * Useful command to look at the CA certificate:
 * keytool -keystore root_ca.truststore -list -storetype jks -v
 *
 */
private TrustManager[] getTrustManager(String trustStoreType, String trustStoreFile, String trustStorePassword) throws Exception {
    KeyStore trustStore = KeyStore.getInstance(trustStoreType);
    TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustStore.load(this.getClass().getClassLoader().getResourceAsStream(trustStoreFile), trustStorePassword.toCharArray());
    tmf.init(trustStore);

    return tmf.getTrustManagers();
}
    Diese Antwort ist auch nicht hier relevant. Die Frage ist im wesentlichen, warum kann er nicht erstellen Sie eine trusted-Eintrag in eine PKCS12 -KeyStore. Sie wissen nicht einmal zeigen, ein PKCS #12 trust store, oder erklären, warum das nicht funktioniert.

    InformationsquelleAutor markdsievers

Schreibe einen Kommentar