Importer PKCS7 (certificat chaîné) à l'aide de la commande KeyTool dans JKS
J'ai un CERT émis par une autorité de certification au format PKCS # 7. Il contient des certificats (chaînés) . Keytool ne reconnaît pas le format PKCS7. J'ai essayé l'outil OpenSSL pour convertir le certificat de format PKCS7 au format PEM et cela échoue. Je reçois un message d'erreur "Impossible de charger l'objet PKCS7".
Comment importer la chaîne de certification PKCS7 sur mon serveur JKS?
Comme vous pouvez le lire dans la commande référence d'utilitaire clé pour -importcert:
Lit le certificat ou la chaîne de certificats (où cette dernière est fournie dans une réponse au format PKCS # 7) à partir du fichier cert_file, et le stocke dans l'entrée de fichier de clés identifiée par un alias. Si aucun fichier n'est fourni, le certificat ou la réponse PKCS # 7 est lu à partir de stdin.
keytool peut importer des certificats X.509 v1, v2 et v3, ainsi que des chaînes de certificats au format PKCS # 7 comprenant des certificats de ce type.
Essayez d'importer le cert PKCS7 tel quel.
Bien que cela ne fonctionne pas toujours. Si vous avez des problèmes, essayez ce qui suit (en utilisant OpenSSL):
Imprimer tous les certificats qu'il contient dans un fichier PEM
OpenSSL> pkcs7 -in initial_file.p7b -inform DER -print_certs -outform PEM -out certs_chain.pemOuvrez le nouveau fichier PEM (certs_chain.pem) avec un éditeur et supprimez tout ce qui se trouve en dehors des limites
-----BEGIN CERTIFICATE-----et-----END CERTIFICATE-----(conservez uniquement le contenu codé dans les limites, les certificats eux-mêmes) et enregistrez-le.
Maintenant, keytool ne devrait plus avoir de problèmes pour importer votre cert, en utilisant certs_chain.pem comme cert_file
Une autre approche consiste à utiliser IE pour créer un certificat X.509. Vous pouvez trouver les étapes dans mon article sur la façon de faire SSL entre WLS et IIS à http://techblog.fywservices.com/2012/10/establishing-weblogic-server-https-trust-of-iis- using-a-Microsoft-local-certificate-Authority/