Как экспортировать закрытый ключ из хранилища ключей самозаверяющего сертификата
Я только что создал самозаверяющий сертификат на коробке linux под управлением tomcat 6.
Я создал такие ключи, действительные в течение 10 лет:
keytool -genkey -alias tomcatorange -keyalg RSA -validity 3650
и скопировал хранилище ключей в папку в tomcat и обновил сервер.XML, чтобы указать на хранилище.
теперь мой сетевой администратор запрашивает как открытый, так и закрытый ключ ( для нашего балансировщика нагрузки)
Я могу создать открытый ключ, используя:
openssl s_client -connect mydomain.com:8443
но как я могу экспорт/получение закрытого ключа?
4 ответов
Это немного сложнее. Сначала вы можете использовать keytool чтобы поместить закрытый ключ в формат PKCS12, который является более портативным/совместимым, чем различные форматы хранилища ключей Java. Вот пример взятия закрытого ключа с псевдонимом "mykey" в хранилище ключей Java и копирования его в файл PKCS12 с именем myp12file.p12
.
[обратите внимание, что на большинстве экранов эта команда выходит за пределы правой части окна: вам нужно прокрутить вправо, чтобы увидеть все это]
keytool -v -importkeystore -srckeystore .keystore -srcalias mykey -destkeystore myp12file.p12 -deststoretype PKCS12
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
[Storing myp12file.p12]
файл myp12file.p12
содержит закрытый ключ в формате PKCS12, который может использоваться непосредственно многими пакетами программного обеспечения или дополнительно обрабатываться с помощью openssl pkcs12
. Например,
openssl pkcs12 -in myp12file.p12 -nocerts -nodes
Enter Import Password:
MAC verified OK
Bag Attributes
friendlyName: mykey
localKeyID: 54 69 6D 65 20 31 32 37 31 32 37 38 35 37 36 32 35 37
Key Attributes: <No Attributes>
-----BEGIN RSA PRIVATE KEY-----
MIIC...
.
.
.
-----END RSA PRIVATE KEY-----
распечатать закрытый ключ в незашифрованном виде.
обратите внимание, что это закрытый ключ и вы несут ответственность за оценку последствий для безопасности удаления его из хранилища ключей Java и перемещения его.
использовать Keystore Explorer gui -http://keystore-explorer.sourceforge.net/ - позволяет извлечь закрытый ключ из a .следующих в различных форматах.
http://anandsekar.github.io/exporting-the-private-key-from-a-jks-keystore/
public class ExportPrivateKey {
private File keystoreFile;
private String keyStoreType;
private char[] password;
private String alias;
private File exportedFile;
public static KeyPair getPrivateKey(KeyStore keystore, String alias, char[] password) {
try {
Key key=keystore.getKey(alias,password);
if(key instanceof PrivateKey) {
Certificate cert=keystore.getCertificate(alias);
PublicKey publicKey=cert.getPublicKey();
return new KeyPair(publicKey,(PrivateKey)key);
}
} catch (UnrecoverableKeyException e) {
} catch (NoSuchAlgorithmException e) {
} catch (KeyStoreException e) {
}
return null;
}
public void export() throws Exception{
KeyStore keystore=KeyStore.getInstance(keyStoreType);
BASE64Encoder encoder=new BASE64Encoder();
keystore.load(new FileInputStream(keystoreFile),password);
KeyPair keyPair=getPrivateKey(keystore,alias,password);
PrivateKey privateKey=keyPair.getPrivate();
String encoded=encoder.encode(privateKey.getEncoded());
FileWriter fw=new FileWriter(exportedFile);
fw.write(“—–BEGIN PRIVATE KEY—–\n“);
fw.write(encoded);
fw.write(“\n“);
fw.write(“—–END PRIVATE KEY—–”);
fw.close();
}
public static void main(String args[]) throws Exception{
ExportPrivateKey export=new ExportPrivateKey();
export.keystoreFile=new File(args[0]);
export.keyStoreType=args[1];
export.password=args[2].toCharArray();
export.alias=args[3];
export.exportedFile=new File(args[4]);
export.export();
}
}
public static void main (String[] args) {
try {
String keystorePass = "20174";
String keyPass = "rav@789";
String alias = "TyaGi!";
InputStream keystoreStream = new FileInputStream("D:/keyFile.jks");
KeyStore keystore = KeyStore.getInstance("JCEKS");
keystore.load(keystoreStream, keystorePass.toCharArray());
Key key = keystore.getKey(alias, keyPass.toCharArray());
byte[] bt = key.getEncoded();
String s = new String(bt);
System.out.println("------>"+s);
String str12 = Base64.encodeBase64String(bt);
System.out.println("Fetched Key From JKS : " + str12);
} catch (KeyStoreException | IOException | NoSuchAlgorithmException | CertificateException | UnrecoverableKeyException ex) {
System.out.println(ex);
}
}