一、写在前面
数据库MySQL 8.0 通过自签命令在datadir下生成了所有的证书文件。由于Java的JDK不支持直接加载PEM格式的证书,所以需要将PEM格式证书转换成Java能够直接加载的JKS格式证书。我们需要将根证书ca.pem转换成JKS格式的根证书truststore.jks,将client-cert.pem和client-key.pem转换成JKS格式的证书keystore.jks。
假设有三个PEM证书文件:
ca.pem —— 根证书文件
client-cert.pem —— 证书文件
client-ckey.pem —— 证书的密钥文件
二、当前环境
系统:windows 11
OpenSSL:Win64OpenSSL-3_1_4.msi
JDK版本:Eclipse Temurin openjdk version "1.8.0_382"
三、导出Truststore证书
使用keytool工具将根证书ca.pem转换成JKS格式的truststore.jks文件
keytool -import -file ca.pem -keystore truststore.jks
为导出JKS格式的truststore.jks文件设置密码,需要验证2次,完成后回车。
上述输入yes后信任此证书。
完成后提示添加到keystore,成功后在当前目录生成truststore.jks文件。
四、导出Keystore证书
使用openssl将client-cert.pem和cert.key.pem(证书和证书的密钥文件)导出到PKCS12格式的证书文件(p12证书)
openssl pkcs12 -export -out client.p12 -in client-cert.pem -inkey client-key.pem
注意:如果证书文件client_key.pem设置了密码,则需要输入正确的文件密码,没有就是留空敲回车;另外,必须为导出的p12证书client.p12设置密码。
下面是生成的P12文件
我们使用jetty提供的工具包完成下面操作,将p12证书转换成我们需要的JKS证书keystore.jks
下载jetty提供的工具包放到证书目录
java -cp jetty-6.1.26.jar org.mortbay.jetty.security.PKCS12Import client.p12 keystore.jks
Enter input keystore passphrase:即之前导出cert.p12文件所设置的密码;
Enter output keystore passphrase:即为导出的keystore.jks证书设置密码(必须设置密码)。
就成功将client_cert.pem和client_key.pem证书文件和证书的PEM文件转换成JKS格式的证书keystore.jks
