Discussion :

[hazaiki123]

Bonjour à tous,

Je vous explique ma situation, j'ai 2 fichiers .pem : fichier1.pem et fichier2.pem.

fichier1.pem contient un certificat et une clé privé il est sous la forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
....
-----END RSA PRIVATE KEY-----

fichier2.pem contient juste un certificat CA et est sous la forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 -----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Je souhaite utiliser ces 2 fichiers pour me connecter à un webservice en https. Ce webservice va me demander mes certificats, et en Java pour les utiliser il faut passer par un KeyStore.
C'est ici que je suis bloqué, comment passer de ces 2 fichier .pem à un keystore pour que je puisse communiquer avec mon webservice.

Merci pour votre compréhension

[bouye]

Quelques réponse trouvées sur Import PEM into Java Key Store sur StackOverflow :


Via conversion en DER:

1. Convertir le fichier PEM en fichier DER :
   
   

   Code :

   Sélectionner tout - Visualiser dans une fenêtre à part

   openssl x509 -outform der -in certificate.pem -out certificate.der

2. Importer le ficnier DER dans le store :
   
   

   Code :

   Sélectionner tout - Visualiser dans une fenêtre à part

   keytool -import -alias your-alias -keystore cacerts -file certificate.der

Import direct (l'auteur indique qu'il faut retirer les lignes de texte supplémentaires en début et fin de certificat pour éviter une keytool error: java.lang.Exception: Input not an X.509 certificate) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

keytool -import -alias *alias* -keystore cacerts -file *cert.pem*

Ces 2 reponses datent d'il y a 11 ans donc a voir si elles sont toujours pertinentes.

[Javaguru]

Bonjour,

C'est bizarre qu'on vous ait donné la clé privée, vous n'avez besoin que de la clé public.. (le domaine/service en face devrait garder sa clé privée "privé" )

Et pas besoin de openssl, on peut vraiment tout faire avec le Java KeyTool (même créer des clés privées RSA)

Donc, se placer dans C:\Program Files\Java\jdk1.8.0_151\jre\lib\security (le dossier securité de Java)

Code bash :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
# affiche du certificat serveur distant
keytool -J-Duser.language=en -printcert -rfc -sslserver sso-uat.domain.com
 
# Conversion du certificat (.cer ou .pem)
keytool -J-Duser.language=en -printcert -rfc -sslserver sso-uat.domain.com > domain.cer
 
# On vérifie le certificat public
keytool -J-Duser.language=en -printcert -file domain.cer
 
# Ajout du certificat dans un TrustStore/KeyStore 
keytool -J-Duser.language=en -importcert -file domain.cer -alias domain.com -storepass changeit -keystore my.jks
Trust this certificate? [no]:  yes
Certificate was added to keystore

Et on démarre son appli Java avec les VM Options suivantes:

-Djavax.net.ssl.trustStore="C:\Program Files\Java\jdk1.8.0_151\jre\lib\security\my.jks" -Djavax.net.ssl.keyStore="C:\Program Files\Java\jdk1.8.0_151\jre\lib\security\my.jks" -Djavax.net.ssl.keyStoreType=jks -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.keyStorePassword=changeit -Djavax.net.ssl.trustStorePassword=changeit

Toutes les connexions de votre appli Java vers le domaine sso-uat.domain.com utiliseront ce JKS pour discuter en toute sécurité