java - 从 .der 更新/生成新的 .p12/.jks

Question

现状:

我们使用 HTTPS/SSL 对某个 url 进行 POST。为此，我的(前)同事发布了这个问题:Java HTTPS client certificate authentication

所以基本上我们有一个 .p12 格式的 keystore ，而信任库是一个 .jks 文件。

我们无法控制接收我们的 POST 请求的服务器。

问题:

服务器管理员为我们提供了一些新的 .der 文件，因为他们的旧证书即将过期。

由于我对 SSL 证书和 keytool - 以及 openssl - 命令相当陌生，所以我不知道如何从这里开始。

1)是否需要生成新的.p12和.jks文件？还是我只需要生成一个新的 .jks 文件？

2) 如何从 .der 证书生成这些文件？我找到了一些具有最多 keytool/openssl 命令的网站，但我无法成功生成我需要的内容。

我尝试的最后一个命令(无济于事)是:

keytool -storepass dsmserver -keystore c:\temp\newkeystore.jks -importcert -alias "c:\temp\newcert.der" -trustcacerts

Answer 1

等等，哪个证书过期了？如果是他们的，则不需要向您发送新文件(毕竟，当 stackoverflow.com 的 SSL 证书过期并且他们安装了新文件时，您不必更新浏览器)。如果您正在进行相互身份验证(客户端证书身份验证)，则涉及四个证书:您的证书、他们的证书、签署您的证书的机构的证书以及签署他们的证书的机构的证书。他们向您发送他们的证书，您检查它是否由您信任的证书颁发机构正确签名(这就是信任库的用途 - 它是您信任的证书颁发机构的列表，可以从他们那里签署证书)。随后，您发送您的证书，他们检查它是否由他们信任的证书颁发机构正确签名。 (当然，所有这些都是通过 SSL 握手过程在 JSSE 的幕后自动为您完成的)

请记住，证书是一个(签名的)断言，表明某某名称由特定公钥标识。因此，如果他们的证书过期，他们将生成一个新证书，由您已经信任的 CA 对其签名，然后用这个替换旧证书。当您的软件(自动地，作为幕后 SSL 握手的一部分)获得新的软件时，它将检查签名者(“发行者”)是谁以及它是否在您的受信任机构列表中(并正确签名).如果检查出来，您将自动接受它。他们不需要向您发送任何带外的东西来实现这一点，除非他们正在更改证书颁发机构并且您还不信任新证书颁发机构。如果是这样，你可以使用

keytool -import -keystore <truststore> -file <certificate file> -alias <someca>

另一方面，如果您的证书已过期，那么他们不应该向您发送任何未经请求的内容。相反，您应该通过以下方式生成 CSR:

keytool -genkey -alias <myalias> -keystore <keystore>.p12 -storetype pkcs12
keytool -certreq -alias <myalias> -file request.csr -keystore <keystore>.p12 -storetype pkcs12

这将使用新的私钥更新 keystore 并创建一个名为“request.csr”的文件，然后您应该将该文件发送给他们(或他们信任库中的 CA)以获得签名.他们将以签名证书作为响应，然后您可以使用以下方式将其导入回您的 keystore :

keytool -import -alias <myalias> -file <signed certificate>.cer

如果我不得不猜测，看起来他们试图为您执行这三个步骤，并试图向您发送证书和相应的私钥，这是无效的 - Java 将(正确地!)尽力阻止你不能导入它，因为当他们通过不受信任的 channel (电子邮件，我想？)发送私钥时，私钥本身被污染了。这违背了 PKI 的目的——除了你之外，没有人应该访问你的私钥。