java 证书链添加到p12(pfx)

最新推荐文章于 2025-06-28 23:15:59 发布
转载 最新推荐文章于 2025-06-28 23:15:59 发布 · 1.6k 阅读 · 0

本文探讨了将p12证书转换为Java兼容的jks格式时遇到的问题,特别是当证书链不完整导致HTTP响应'403:Forbidden'时。通过对比从IE导出的p12和直接转换的p12,发现后者缺少完整的证书链。文章详细描述了如何确保转换后的jks文件包含所有必要的证书,以便在调用WebService时不会遇到权限问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我有问题,直接将此p12证书转换为java要求的工作jks密钥库.

我这样做了:

 

keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore certificate1.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret
keytool -import -alias trusted -file trusted_ca.cer -trustcacerts -keystore certificate1.jks -storepass secret

但这个jks不起作用,我在使用这个certificate1.jks时得到HTTP响应’403:Forbidden’

但是,如果我将此p12(pfx)证书导入Internet Explorer,然后将此证书从IE导出为pfx格式,选择“在证书路径中包含所有证书”复选框并使用:

 

keytool -importkeystore -srckeystore certificate.pfx -srcstoretype PKCS12 -destkeystore certificate2.jks -deststoretype JKS -storepass secret
keytool -import -alias root -file root_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret
keytool -import -alias trusted -file trusted_ca_kir.cer -trustcacerts -keystore certificate2.jks -storepass secret

然后一切正常,我可以使用certificate2.jks连接到WebService.

我发现原始certificate.p12(pfx)只包含一个条目(证书链长度:1):

 

keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v


*******************************************
*******************************************

Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=MyCompany, EMAILADDRESS=my.email@domain.com, O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
         MD5:  XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         Signature algorithm name: SHA1withRSA
         Version: 3

Extensions:

#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

...

*******************************************
*******************************************

而从IE导出的“包含证书路径中的所有证书”的certificate.pfx包含带有第二个可信CA证书的证书链(证书链长度:2):

 

keytool -list -keystore certificate.p12 -storepass secret -storetype PKCS12 -v



*******************************************
*******************************************

Alias name: alias
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=MyCompany, EMAILADDRESS=my.email@domain.com, O=bla, C=PL
Issuer: CN=Trusted CA, O=ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
         MD5:  XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         Signature algorithm name: SHA1withRSA
         Version: 3

Extensions:

#1: ObjectId: X.X.XX.XX Criticality=false
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

...

Certificate[2]:
Owner: CN=Trusted CA, O=ble ble ble, C=PL
Issuer: CN=ROOT CA, O=ble ble ble, C=PL
Serial number: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Valid from: ... until: ...
Certificate fingerprints:
         MD5:  XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         SHA1: XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
         Signature algorithm name: SHA1withRSA
         Version: 3

Extensions:


*******************************************
*******************************************

因此,为了解决我的问题,我需要将p12证书与链接到可信CA证书.
我可以通过将p12导入IE然后导出回“使用证书路径中的所有证书”来完成此操作.

如果没有IE使用keytool或其他工具,我怎么能这样做?

moonpure
关注
使用OpenSSL创建多级CA证书链签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 9058
文章目录1. 生成根CA证书并自签2. 生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书链5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书并使用CA证书签发 生成服务器证书并使用二级CA证书签发 制作CA证书链 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
java引入pfx证书访问https,第11课:springboot 实现https添加证书内容做https接口部署
weixin_30213477的博客
03-15 1198
简介单个项目中如果需要做https的项目部署,一般可能直接通过nginx配置的https的请求负载到对应的接口方法上则访问方法的时间实现https功能的实现.如果只是简单的项目应用不想配置nginx还可以通过springboot+配置https证书内容来实现具体的功能;项目的目录 https 证书生成keytool生成tomcat证书 tomcat7之后支持 jks和pfx两种1.生成pkcs12...
【收藏备用】Java 自签证书快速导入 keystore.p12 和 truststore.p12 文件和使用
05-14 1758
你可以通过为每个证书指定不同的别名,在同一个文件中一次性生成多个证书。使用来验证证书是否正确导入。将导出的公钥证书导入到文件中以便应用程序能够信任这些证书。这样,你就能在同一个文件中管理多个证书,并将它们的公钥导入到中。如果你有其他问题或需要进一步的帮助,请随时告诉我!
OpenSSL 解析P12格式证书文件
04-06
NULL 博文链接:https://jacky-dai.iteye.com/blog/1545241
怎么通过 java 生成 pfx 格式的证书链
最新发布
Java的专栏
06-28 520
要在 Java 中生成一个包含证书链PFX 文件(也称为 PKCS#12 文件),你可以使用keytool工具,它是 JDK 自带的一个密钥和证书管理工具。此外,你也可以通过编程方式使用 JavaKeyStoreAPI 来完成这一任务。
添加站点证书链 步骤
xiemk2005的专栏
09-07 958
如访问https://ra1.cnca.net/NETCACertReqService/NETCACertReqService  鼠标右键--》属性--》证书--》证书路径 然后分别选择最高2级证书--》查看证书--》详细信息--》复制到文件  netcaroot.cer
java验证证书链
weixin_37086759的博客
07-26 611
Java证书链验证入门指南 作为一名刚入行的开发者,你可能会遇到需要验证证书链的场景,比如在SSL/TLS通信中。证书链验证是确保证书合法性的重要步骤。本文将为你提供一个Java环境下实现证书链验证的简单指南。 流程概览 首先,让我们通过一个表格来了解整个证书链验证的流程: 步骤 描述 1 加载信任的根证书 ...
p12证书转换
07-28
NULL 博文链接:https://fanth.iteye.com/blog/772499
证书学习(二)搞懂 keystore、jks、p12pfx、cer、crt、csr、pem、key文件的区别
ACGkaka的博客
08-23 5630
证书学习(二)搞懂 keystore、jks、p12pfx、crt、csr、pem文件的区别
2022如何在Java处理PFX格式证书.docx
07-12
"Java处理PFX格式证书相关知识...Java中处理PFX格式证书需要了解PFX文件格式的基本知识,并使用Java语言来读取PFX文件、提取证书链和密钥。通过本文的介绍和示例代码,读者可以更好地理解Java处理PFX格式证书的过程。
PFX格式证书JAVA keyStore证书相互转换
03-05
java 生成的有私钥的证书导入IE,或者把IE导出的证书导入javaKeyStore
如何把pem证书转化为p12证书
08-02
转换过程中可能遇到的问题包括证书链不完整、私钥保护密码错误等,需要根据错误提示进行排查和解决。 在iOS开发中,P12证书特别重要,因为苹果的推送通知服务(APNs)需要开发者提供P12证书来验证应用程序的身份。`...
java https pfx_使用HttpClient携带pfx证书调用HTTPS协议的WebService
weixin_30310209的博客
02-16 966
调用第三方服务时,厂商提供了一个WSDL文件、调用的地址和一个后缀为pfx证书文件,通过SOUPUI记载证书是可以正常调用WebService服务,那么如何将该服务转换为代码呢?咨询了厂商的支持,厂商说直接发送报文即可。观察SOUPUI的调用发现直接发送的SOUP报文,那么决定使用HttpClient进行服务调用,调用HTTPS好说、发送报文也好说,关键问题卡在了pfx证书上面。百度了很多例子,...
证书学习(三).p12证书颁发的5个步骤、如何在线生成证书证书工具网站推荐
ACGkaka的博客
08-31 3053
证书学习(三).p12证书颁发的5个步骤、如何在线生成证书证书工具网站推荐
JAVA】postman import certificates in project 导入证书pfx
程序猿的学习路途博客
04-01 767
postman import certificates
p12格式的安全证书Java项目中使用
热门推荐
rgyuanjie的博客
08-26 1万+
前一段时间因为需要别人给的p12格式的安全证书才能获取相关数据,但是p12格式的证书无法导入到jdk的证书库,但是又需要在Java项目中使用p12格式的证书,找了很久,最后在别人的帮助下找到方法。 因为p12格式的证书包含证书和私钥,不能直接导入jdk的证书库,转换成cer格式的证书能导入,但是导出的cer格式证书不含私钥,这样仍不能使用证书。所以我找到的方法是先将导出的cer格式的证书导入jd
java工具keytool生成p12数字证书文件
诚的博客
03-09 2243
Keytool是用于管理**和证书的工具,位于%JAVA_HOME%/bin目录。 使用JDK的keytool工具 1.keytool在jdk的bin目录下 查找jdk目录参考https://blog.csdn.net/PENG_Dorothy/article/details/106868109 2.打开keytool所在的bin目录,然后在上面的路径显示框中输入CMD,然后回车,即可在当前文件夹下打开命令提示符,并且路径是当前文件夹。3.生成数字文件 在命令行输入 keytool -genkeypair
java 发送带 .p12证书 带json参数 的 https 的请求
OOObject的博客
10-17 1521
java 发送带 .p12证书 带json参数 的 https 的请求
Java处理PFX格式证书指南
3. 提取证书链:使用`KeyStore`的`getCertificateChain`方法可以获取与给定别名关联的证书链,这是一个`X509Certificate`对象的数组。 4. 转换为X509证书结构:如果你只关心第一个证书(通常是根证书),可以直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值