CA PEM文件到jks tomcat truststore

Question

我獲得了由某個CA簽署的p12公鑰/私鑰。 我有一個本地tomcat服務器，我正在進行開發工作。 我是安全的新手，但我相信需要將CA公共證書放入我的tomcats信任庫。 （我試圖讓x509證書與CAS合作）

如何讓我的tomcat（和JVM）信任這個CA？ 有沒有辦法從p12和我的tomcat信任庫中獲取CA公共證書？ （我還從firefox導出了證書以獲取CA的PEM文件）

我看到很多關於jsk的帖子，但不是相反。 我只需要CA. （我認為） ：）

Answer 1

首先，不保證您擁有的p12文件包含已頒發其包含的最終實體證書的CA證書。 雖然這是有用的密鑰庫包含中間證書（如所討論此處 ），含在鏈的末端的CA是沒有必要的：如果遠程方不信任它，將它添加到鏈不會使差異（如這里所討論的）。

你可以使用openssl pkcs12 -nokeys -out output.pem -in yourstore.p12來檢查這個。 使用文本編輯器查看output.pem的內容，您應該看看是否包含CA證書。 如果沒有，請聯系頒發證書的CA，他們應該能夠提供給您。

然后，要構建一個新的密鑰庫以用作信任庫，請使用keytool -import ，例如keytool -import -keystore mytruststore.jks -file the_ca_file.pem 。 （該CA文件應僅包含CA的證書，而不包含其他證書。如果您從以前的輸出中復制此文件，則只使用相關的--BEGIN--...--END--塊。）

您不是說您是希望此信任庫用於驗證連接到Tomcat服務器的客戶端，還是用於在Tomcat中運行的Web應用程序進行的連接（在這種情況下，它們是客戶端）。 設置此信任庫的位置和方式取決於它。 （在第二種情況下，從默認cacerts文件的副本開始，而不是從頭創建新商店通常很有用。）

Answer 2

將證書（任何類型的p12，x509）導入tomcat信任庫非常簡單。 按照以下步驟操作，您應該能夠將證書導入tomcat的信任存儲區。

1. 找到tomcat正在使用的JRE（而不是JDK）。 請參閱tomcat啟動以獲取JRE_HOME。

2. 使用JREBin目錄中的Keytool，使用以下命令將使用瀏覽器導出的證書導入信任庫。

    jre\\bin\\keytool -importkeystore -srckeystore .\\Certs\\sample.p12 \\ -destkeystore .\\Certs\\server.keystore -srcstoretype pkcs12 \\ -deststoretype jks -srcstorepass changeit -deststorepass changeit 

3. 並在提示是否信任證書時鍵入YES。

參考：

http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

http://support.citrix.com/proddocs/topic/command-center-40/cc-install-import-cert-truststore-tsk.html