使用KeyTool命令将PKCS7 (链接证书)导入到JKS

Question

我有一个CA颁发的PKCS#7格式的CERT。它里面有证书(链接的)。Keytool不识别PKCS7格式。我尝试过将PKCS7格式的证书转换成OpenSSL格式的证书，但失败了。我收到一条错误消息"Unable to load PKCS7 object“。

如何将PKCS7证书链导入我的JKS？

Answer 1

正如您可以在-importcert命令的keytool reference中所读到的：

从文件cert_file读取证书或证书链(后者在PKCS#7格式的回复中提供)，并将其存储在由别名标识的密钥库条目中。如果未提供文件，则从标准输入读取证书或PKCS#7回复。

keytool可以导入X.509 v1、v2和v3证书，以及由该类型证书组成的PKCS#7格式证书链。

尝试按原样导入PKCS7证书。

然而，它并不总是有效的。如果遇到问题，请尝试执行以下操作(使用OpenSSL)：

1. 将它包含的所有证书打印到PEM文件中。

OpenSSL> pkcs7 -in initial_file.p7b -inform DER -print_certs -outform PEM -out certs_chain.pem

1. 使用编辑器打开新的PEM文件(certs_chain.pem)，删除-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----边界之外的所有内容(仅保留边界内的编码内容和证书本身)，然后保存它。

现在，使用certs_chain.pem作为cert_file，keytool导入证书应该没有问题

Answer 2

另一种方法是使用IE创建X.509证书。您可以在我的关于在WLS和IIS之间使用SSL的文章中找到步骤，网址是http://techblog.fywservices.com/2012/10/establishing-weblogic-server-https-trust-of-iis-using-a-microsoft-local-certificate-authority/。