Как добавить цепочку сертификатов в keystore?

у меня есть файл с цепочкой сертификатов - сертификат.cer:

subject=/C...
issuer=/C=US/O=VeriSign, Inc...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

subject=/C=US/O=VeriSign, Inc...
issuer=/C=US/O=VeriSign, Inc...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

subject=/C=US/O=VeriSign, Inc...
issuer=/C=US/O=VeriSign, Inc...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

мне нужно добавить эту цепочку сертификатов в хранилище ключей.
Что я делаю:

openssl x509 -outform der -in certificate.cer -out cert.der
keytool -v -importcert -alias mykey -file cert.der -keypass <passwd> -keystore keystore -storepass <passwd> -alias <myalias>

в результате у меня есть только 1 сертификат в keystore.
Но должно быть 3.
Что может быть не так?

устранение:
CA отправил мне сертификаты в формате PKCS#7.
Я хранил их в сертификате.p7b файл, а затем успешно добавил их в keystore by следующая команда:

keytool -import -trustcacerts -file certificate.p7b -keystore keystore -storepass <mypasswd> -alias "myalias"

2 ответов


из keytool man-импортирует цепочку сертификатов, если ввод задан в формате PKCS#7, в противном случае импортируется только один сертификат. Вы должны иметь возможность конвертировать сертификаты в формат PKCS#7 с помощью openssl с помощью команды openssl crl2pkcs7.


Я решил проблему, cat'ING все pems вместе:

cat cert.pem chain.pem fullchain.pem >all.pem
openssl pkcs12 -export -in all.pem -inkey privkey.pem -out cert_and_key.p12 -name tomcat -CAfile chain.pem -caname root -password MYPASSWORD
keytool -importkeystore -deststorepass MYPASSWORD -destkeypass MYPASSWORD -destkeystore MyDSKeyStore.jks -srckeystore cert_and_key.p12 -srcstoretype PKCS12 -srcstorepass MYPASSWORD -alias tomcat
keytool -import -trustcacerts -alias root -file chain.pem -keystore MyDSKeyStore.jks -storepass MYPASSWORD

(keytool не знал, что делать с отформатированным ключом PKCS7)

Я получил все pems от letsencrypt