FK~

Moje odkazy

Ostatní odkazy

EFF: svoboda blogování
Close Windows
Nenajdete mě na Facebooku ani Twitteru
Rozpad EU
Jsem členem FSF
Jsem členem EFF
There Is No Cloud …just other people's computers.

Java keytool: Input not an X.509 certificate

vydáno: 30. 8. 2008 20:31, aktualizováno: 15. 9. 2014 00:37

Při importu certifikátu do Javové klíčenky na nás může vyskočit nepříjemná chyba Input not an X.509 certificate. Jednou z příčin je, že máme certifikát v nesprávném formátu.

V tom případě provedeme převod z PEM do DER pomocí OpenSSL:
openssl x509 -in certifikát.pem -inform PEM -outform DER -out certifikát.der.

Výsledek pak už snadno pomocí keytoolu importujeme:

keytool -import \
    -alias "náš_alias" \
    -keystore "klíčenka.jks" \
    -storepass "naše_heslo" \
    -file "certifikát.der"

(alias identifikuje certifikát/klíč v rámci klíčenky, heslo chrání naši klíčenku)

Bonus na závěr: skript pro stažení SSL certifikátu ze serveru:

#!/bin/sh
REMHOST=$1
REMPORT=${2:-443}

echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

Použití: ssl-stažení example.com [port]

Import klíče a certifikátu z PEM do JKS

  1. Vytvoříme si P12 obsahující jak klíč, tak certifikát:

    openssl pkcs12 -export -in certifikát.pem -inkey klíč.pem -out klíčCertifikát.p12
  2. Změníme si alias na požadovanou hodnotu – např.:

    keytool -storetype PKCS12 -keystore klíčCertifikát.p12 \
    -changealias -alias 2 -destalias frantovo.cz_3
  3. Zkontrolujeme si, zda je všechno v pořádku:

    keytool -list -storetype PKCS12 -keystore klíčCertifikát.p12
  4. Importujeme PKCS12 do JKS:

    keytool -importkeystore  -destkeystore keystore.jks \
    -srckeystore klíčCertifikát.p12 -srcstoretype PKCS12
  5. Podíváme se na výsledek:

    keytool -list -keystore keystore.jks

Témata: [počítačová bezpečnost] [Java] [taháky]

Komentáře čtenářů


xkucf03, 4. 9. 2008 09:38, PKCS12 [odpovědět]

Zabalení certifikátu a klíče do jednoho souboru:

openssl pkcs12 -export -in certifikát.pem -inkey klíč.pem -out klíčCertifikát.p12


xkucf03, 9. 11. 2008 19:20, Samopodepsaný certifikát [odpovědět]

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout klíč.pem -out certifikát.pem


xkucf03, 13. 4. 2009 16:51, Klíč + CSR + Certifikát [odpovědět]

  1. Vytvoříme si soukromý klíč: openssl genrsa -out klic.pem 4096
  2. Vytvoříme požadavek na certifikát: openssl req -new -key klic.pem -out pozadavek.csr
  3. Certifikát nám vydá např. CAcert.org.

Přidat komentář

reagujete na jiný komentář (zrušit)
jméno nebo přezdívka
název příspěvku
webová stránka, blog
e-mailová adresa
nápověda: možnosti formátování
ochrana proti spamu a trollům

Náhled komentáře