>我创建了一个Java JKS keytore:
keytool -genkey -alias mydomain -keyalg RSA -keystore mytest.jks -keysize 2048
之后,我创建了一个 P12 文件,使用服务器的 CRT 和 openssl :
openssl pkcs12 -export -in server.crt -inkey server.key > server.p12
现在我将 P12 文件导入到我之前创建的 JKS 密钥库中:
keytool -importkeystore -srckeystore server.p12 -destkeystore mytest.jks -srcstoretype pkcs12
它可以工作,我可以使用此JKS初始化与服务器的SSL连接:
public static SSLContext initSSLContext(String keystoreLocation, String keystorePwd, String truststorePwd, String serverCrtPwd)
SSLContext context;
context = SSLContext.getInstance("TLS");
KeyStore ks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream(keystoreLocation), keystorePwd.toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, serverCrtPwd.toCharArray());
KeyStore trustStore = KeyStore.getInstance("jks");
trustStore.load(new FileInputStream(keystoreLocation), truststorePwd.toCharArray());
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(trustStore);
context.init(kmf.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
将密钥库位置、密码和导入的 CRT 文件的密码放在其工作的参数中。
现在我必须将多个 P12 文件转换并导入到同一个 JKS 密钥库中,多次运行导入部分它的工作原理,我使用不同的别名导入了多个密钥,当然还有不同的密码。我的问题是现在每个导入的密钥都有自己的密码。我只想使用给定密钥库中的每个可用别名初始化一次 SSL 连接。因为更多的服务器将使用SSL将数据发送到我的应用程序,所以它们具有不同的密码,它们被导入到我的密钥库中,但我无法使用多个密码初始化我的密钥库,它只接受一个密码。如何使用多个具有不同别名和不同密码的导入 P12 初始化我的密钥库?init 方法只接受"从密钥库恢复密钥"的一个参数。
谢谢!
最近,我遇到了同样的挑战来实现这一目标。在寻找解决方案时,我遇到了您的问题。也许我晚了 5 年,但在提出解决方案后,我想与您分享。
所以我发现你有几个选择:
- 所有密钥应具有相同的密码,或者
- 为每个密钥实例化一个单独的 SSLContext 及其自己的密钥管理器,或者
显然,您已经知道这些选项,并且不想执行这些操作。另一种方法是仍然具有具有不同密钥和密码的密钥库。假设您有一个密钥库,其中包含具有以下别名和密码的密钥:
-
foo->foo-password -
bar->bar-password -
lorum-ipsum->lorum-ipsum-password
以下设置将为您解决问题:
var sslContext = SSLContext.getInstance("TLS");
var keyStore = ... // your custom KeyStore
var keyManager = KeyManagerUtils.createKeyManager(keyStore, Map.of(
"foo","foo-password".toCharArray(),
"bar","bar-password".toCharArray(),
"lorum-ipsum","lorum-ipsum-password".toCharArray()
));
sslContext.init(new KeyManager[]{keyManager}, trustManagers, null);
这个KeyManagerUtils在幕后所做的是为每个密钥/密码创建一个KeyManager,并将其合并到一个基本的KeyManager中,该KeyManager能够包含多个KeyManager并将其作为单个密钥管理器返回,以便您可以在SSLContext中使用它。有关详细信息和用法,请参见此处:Github - SSLContext-Kickstart