デジタル証明書：.cerファイルをトラストストアファイルにインポートする方法

投稿日: 2022-10-14 2022-10-14
タグ: Security

1. 概要

通常、 SSLプロトコルは、アプリケーションがネットワークを介してクライアントと通信する必要がある場合に推奨される選択肢です。 SSLは、データの暗号化とともに、安全な接続を確立するために、ブラウザーなどのアプリケーションがハンドシェイク中に非対称キーを交換することを必須にします。

通常、アプリケーションはX.509証明書形式の非対称鍵を共有します。したがって、SSLハンドシェイクの前に、クライアントはそのような証明書をトラストストアファイルにインポートする必要があります。

この記事では、.cer形式の証明書をクライアントのトラストストアにインポートするために使用できるいくつかのツールについて説明します。

2. keytoolコマンド

JDKディストリビューションは、 Javaキーストア（JKS）の管理に使用できるkeytoolユーティリティを提供します。このコマンドの最も重要な目的は、クライアントとサーバー間のSSL通信をテストするための自己署名X.509証明書を生成することです。

自己署名証明書またはCA署名証明書をJKSファイルにインポートして、トラストストアとして使用することもできます：

keytool -importcert -alias trustme -file baeldung.cer -keystore cacerts

Enter keystore password:

Trust this certificate? [no]:  yes
Certificate was added to keystore

ここでは、 keytool コマンドを使用して、自己署名baeldung.cer証明書をインポートしました。この証明書は任意のJavaキーストアにインポートできます。たとえば、ここに示されているのは、JDKのcacertsキーストアに証明書を追加することです。

キーストアに証明書を一覧表示すると、エイリアスtrustmeが表示されます。

keytool -list -keystore cacerts

trustme, Oct 31, 2020, trustedCertEntry,
Certificate fingerprint (SHA1): 04:40:6C:B0:06:65:EE:80:9A:90:A5:E9:DA:19:05:4A:AA:F2:CF:A4

3. opensslコマンド

これまでは、証明書をJKSファイルにインポートする方法についてのみ説明してきました。このようなキーストアは、Javaアプリケーションでのみ使用できます。 SSLライブラリを他の言語で実装する必要がある場合、または複数の言語プラットフォームで同じ証明書を使用する必要がある場合は、PKCS12キーストアを使用する可能性が高くなります。

証明書をPKCS12キーストアにインポートするには、opensslを使用することもできます。

openssl pkcs12 -export -in baeldung.cer -inkey baeldung.key -out baeldung.keystore -name trustme

このコマンドは、という名前の証明書をインポートします baeldung.cer キーストアに baeldung.keystore エイリアス付き私を信じて。

インポートされた証明書をキーストアで確認できます。

openssl pkcs12 -info -in baeldung.keystore
Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
    friendlyName: trustme
    localKeyID: F4 36 4E 19 E4 E4 E7 65 74 56 FB 50 40 02 68 8B EC F0 4D B3
subject=C = IN, ST = DE, L = DC, O = BA, OU = AU, CN = baeldung.com

issuer=C = IN, ST = DE, L = DC, O = BA, OU = AU, CN = baeldung.com

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
    friendlyName: trustme
    localKeyID: F4 36 4E 19 E4 E4 E7 65 74 56 FB 50 40 02 68 8B EC F0 4D B3
Key Attributes: <No Attributes>

これで、証明書がPKCS12キーストアに正常にインポートされました。その結果、このキーストアは、HTTPクライアントライブラリなどのSSLクライアントアプリケーションでトラストストアファイルとして使用できるようになりました。同様に、このファイルは、TomcatなどのSSLサーバーアプリケーションのキーストアとしても使用できます。

4. 結論

この記事では、デジタル証明書を管理するための2つの一般的なSSLツールであるOpenSSLとJavaKeytoolについて説明しました。 さらにkeytoolコマンドとopensslコマンドを使用して、.cer形式の証明書をそれぞれJKSファイルとPKCS12ファイルにインポートしました。

getdocs

13036