So erstellen Sie eine Zertifikatskette mithilfe von keytool?

Ich will create certificate-chain in java wie folgt:

ca.mycompany.com
|--asia.mycompany.com
   |--india.mycompany.com

wo ca.mycompany.com ist ein root-Zertifikat (self-signed).

Ich weiß, dies ist möglich mit OpenSSL. Aber ist es möglich, dies zu erreichen mit keytool?

Wenn nicht, kann ich erreichen, das mit Mozilla-NSS-Bibliothek?

Nein. Sie können nur selbst-signierte Zertifikate, keine Ketten. Sie können import - Ketten von anderswo.

InformationsquelleAutor Tamal Kanti Nath | 2015-06-04

  1. 24

    Gibt es ein Beispiel in der keytool-Dokumentation, dass zeigt, wie dies zu tun: 

    keytool -genkeypair -keystore root.jks -alias root -ext bc:c
keytool -genkeypair -keystore ca.jks -alias ca -ext bc:c
keytool -genkeypair -keystore server.jks -alias server

keytool -keystore root.jks -alias root -exportcert -rfc > root.pem
keytool -storepass <storepass> -keystore ca.jks -certreq -alias ca | keytool -storepass <storepass> -keystore root.jks -gencert -alias root -ext BC=0 -rfc > ca.pem

cat root.pem ca.pem > cachain.pem
keytool -keystore ca.jks -importcert -alias ca -file cachain.pem

keytool -storepass <storepass> -keystore server.jks -certreq -alias server | keytool -storepass <storepass> -keystore ca.jks -gencert -alias ca -ext ku:c=dig,keyEncipherment -rfc > server.pem
cat root.pem ca.pem server.pem > serverchain.pem
keytool -keystore server.jks -importcert -alias server -file serverchain.pem

    Können Sie auch erzeugen, Zertifikat Ketten ziemlich leicht mit KeyStore Explorer:

    1. Ein neues Schlüsselpaar erstellen, das impliziert die Schaffung eines selbst-signierten Zertifikat (Wurzel-CA).
    2. Rechts klicken Sie auf root-CA-Zertifikat und wählen Sie "Anmelden, Neues Schlüsselpaar", das schafft der sub-CA-Zertifikat und-Schlüsselpaar.
    3. Der rechten Maustaste auf sub-CA-Zertifikat und wählen Sie "Sign New Key Pair" wieder.

    So erstellen Sie eine Zertifikatskette mithilfe von keytool?

    Die resultierende Kette:

    So erstellen Sie eine Zertifikatskette mithilfe von keytool?

    Schritt 6 Ihr Anweisungen gibt mir keytool error: java.lang.Exception: Failed to establish chain from reply
    Diese sind nicht meine mit Anweisungen, die Sie kopiert aus der offiziellen keytool-Dokumentation (en. link in meiner Antwort). Ja, ich habe das problem behoben.
    Ich sehe das, was du getan hast. Die Wurzel und der ZERTIFIZIERUNGSSTELLE importiert, die zusammen wie eine Kette.

    InformationsquelleAutor Omikron

  2. 5

    Dies ist eine perfekte Anleitung, die Ihnen helfen, gehen Sie durch den Vorgang der erstellen Zertifikatskette mithilfe von keytool. Im Grunde genommen, ist der Prozess, die Sie benötigen um das Zertifikat zu signieren mit dem Schlüssel von CA und installieren Sie dann das Zertifikat zum Schlüsselspeicher Sie erstellen.

    InformationsquelleAutor PixelsTech

Schreibe einen Kommentar