Práca s certifikátmi v Java keystore

Nasledujúci text je určený používateľom, využívajúcim server Apache Tomcat, podpisujúcim aplikácie (applety) v Jave a všeobecne práci s javovým keystorom.

Upozornenie: Vytvorenie CSR pre Code Signing je rovnaké, ako pre serverový certifikát. Common name je potom názov vašej organizácie.

Vytvorenie keystoru a páru kľúčov

Tento príkaz vytvorí nový keystore a pár kľúčov, ktorý použijete pre vytvorenie žiadosti o certifikát. keytool -genkey -alias test -keyalg RSA -keystore test.jks -keysize 2048 Následne budete vyzvaní k zadaniu hesla pre keystore a upresňujúcich údajov o ňom. Zadané údaje budú zodpovedať tým v CSR:

What is your first and last name?
[Unknown]: Test Test
What is the name of your organizational unit?
[Unknown]: Unit
What is the name of your organization?
[Unknown]: Test corp.
What is the name of your City or Locality?
[Unknown]: Some City
What is the name of your State or Province?
[Unknown]: Some State
What is the two-letter country code for this unit?
[Unknown]: US
Is CN=Test Test, OU=Unit, O=Test corp., L=Some City, ST=Some State, C=US correct?
[no]: yes

Vytvorenie CSR

CSR vytvoríme následujúcim príkazom:
keytool -certreq -alias test -keystore test.jks -file test.csr Údaje o žiadateľovi ste zadali pri vytvorení páru kľúčov v predchádzajúcom kroku, takže sa už na nich keytool nepýta.

Parameter -file test.csr slúži na výstup CSR do súboru. Ak ho vynecháte, tak sa CSR vypíše v terminále a môžete ho rovno skopírovať do našej objednávky. Potom len počkáte na vydanie certifikátu.

Import vydaného certifikátu do keystore

Vydaný certifikát dostanete od SSLmarketu e-mailom a musíte ho dostať do keystoru.

Keystore pri importu certifikátov vyžaduje, aby bol certifikát dôveryhodný a vystavujúca autorita už v keystore bola prítomná. Znamená to, že certifikáty sa importujú v "obrátenom poradí" - od koreňového po serverový.

Import vykonajte príkazom:
keytool -import -trustcacerts -alias test -file test.txt -keystore test.jks

Error: Failed to establish chain from reply

Zmienená požiadavka na predošlý import CA do keystoru spôsobuje častú chybu keytool error: java.lang.Exception: Failed to establish chain from reply. Chyba znamená, že v keystore nie je pre vystavujúcu CA/intermediate certifikát.

Problém vyriešite:

  • 1) importom v obrátenom poradí - CA certifikáty najskôr: keytool -import -trustcacerts -alias root -file intermediate.crt -keystore test.jks
  • 2) alebo importom certifikátu v PKCS#7 (P7B) formáte. Súbor linux_cert+ca.pem, ktorý ste dostali od SSLmarketu, preveďte na P7B týmto príkazom: openssl crl2pkcs7 -nocrl -certfile linux_cert+ca.pem -out linux_cert+ca.p7b a potom tento súbor naimportujte do keystoru:
    keytool -import -trustcacerts -alias test -file linux_cert+ca.p7b -keystore test.jks Výsledok Certificate reply was installed in keystore znamená úspešný import, naopak chyba Public keys in reply and keystore don't match znamená, že v P7B súbore nie je certifikát pre danú doménu (serverový, endpoint), ale len intermediate.

  • 3) prípadne importom certifikátu v PKCS#12 (PFX) formáte, v ktorom je všetko dohromady: keytool -importkeystore -srckeystore pkcs12file.p12 -srcstoretype pkcs12 -destkeystore test.jks -deststoretype JKS Import s pomocou PKCS#12 je najrýchlejší, ale ak ste generovali CSR priamo v keystoru, je zbytočný (vyžaduje jeho export).

Nástroje s GUI

AK nechcete pracovať s keystorom pomocou príkazového riadka alebo terminálu, môžete využiť jeden z nástrojov s grafickým rozhraním.

Oba zmienené programy vedia vytvoriť alebo otvoriť súbor keystoru, vytvoriť CSR a importovať naspäť vystavený certifikát (odpoveď od CA). Postup je rovnaký ako ten pre terminál vyššie; rozdielom je grafické prostredie, v ktorom ho môžete robiť.

Portecle

Portecle je bezplatný program v Jave, ktorý umožňuje spravovať keystore v grafickom prostredí. Môžete ho spustiť na rôznych platformách (Linux, MacOS, Windows).

KeyStore Explorer

KeyStore Explorer funguje podobne ako predošlý program a je tiež multiplatformový.

Logika oboch zmienených programov je však podobná pôvodnému keystoru; prácu tak v dôsledku nemusia veľmi ušetriť.