IHS .kdb转crt,key
参考文档:
环境:
IHS-7.0.0.27
java-1.6
一.将IHS 密钥库.kdb导出为.p12
1.用Ikeyman打开Key文件
2.export
输入PKCS12文件的password
注意:在导出过程中,如果遇到如下错误, restricted policy files, 则需要先将java sdk 的policy由restricted转换成unrestricted ,见官方文档
下载unstricted policy文件,上面的是>=java-1.5, 下面的是>=1.4,实测过程中,使用新的unstricted policy文件时,ikeyman无法正常打开.kdb文件,查实为sdk版本与unstricted policy文件不匹配,解决办法:
输入PKCS12文件的password
注意:在导出过程中,如果遇到如下错误, restricted policy files, 则需要先将java sdk 的policy由restricted转换成unrestricted ,见官方文档
下载unstricted policy文件,上面的是>=java-1.5, 下面的是>=1.4,实测过程中,使用新的unstricted policy文件时,ikeyman无法正常打开.kdb文件,查实为sdk版本与unstricted policy文件不匹配,解决办法:
A.使用older unstricted
policy进行替换,实测能成功打开.kdb并导出为.p12
B.安装最新的IHS补丁,使用较新的unstricted
policy文件
/opt/IBM/HTTPServer/java/jre/lib/security
openssl安装略
二.openssl转换公私钥
提示:openssl pkcs12
help可以查看详细的命令格式和帮助
1.仅导出私钥
root@config-p:~#openssl pkcs12 -in
key.p12 -out sephora.cn.key -nodes -nocerts
Enter Import Password:
MAC verified OK
2.仅导出服务器证书cert
root@config-p:~#openssl pkcs12
-in key.p12 -out sephora.cn.crt
-nodes -nokeysEnter Import Password:
MAC verified OK
3.转换为pem格式(同时包含key,cert)
root@config-p:~#openssl
pkcs12 -in
key.p12 -out sephora.cn.pem -nodes
Enter Import Password:
MAC verified OK
root@config-p:~#ls
sephora.cn.*
sephora.cn.crt
sephora.cn.key
root@config-p:~#file
sephora.cn.*
sephora.cn.crt: ASCII text, with very long
lines
sephora.cn.key: ASCII
text
查看证书内容
openssl x509 -text -in
sephora.cn.pem
openssl pkcs12 -info -in key.p12
root@config-p:~#openssl pkcs12 -info
-in
key.p12
Enter Import Password:
MAC Iteration 1
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 1
Key bag
Bag Attributes
Key Attributes:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
.....
OLU=
-----END ENCRYPTED PRIVATE KEY-----
Certificate bag
Bag Attributes
subject=/1.3.6.1.4.1.311.60.2.1.3=CN/1.3.6.1.4.1.311.60.2.1.2=Shanghai/1.3.6.1.4.1.311.60.2.1.1=Shanghai/businessCategory=Private
Organization/serialNumber=略
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust EV SSL CA - G4
-----BEGIN CERTIFICATE-----
MIIIQDCCByigAwIBAgIQRhlKWFL2ySrC2NWs4SCFQzANBgkqhkiG9w0BAQsFADBH
......
Qsux8A==
-----END CERTIFICATE-----
Certificate bag
Bag Attributes
subject=/C=US/O=GeoTrust Inc./CN=GeoTrust EV SSL CA - G4
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust Primary Certification
Authority
-----BEGIN CERTIFICATE-----
......
-----END CERTIFICATE-----
Certificate bag
Bag Attributes
subject=/C=US/O=GeoTrust Inc./CN=GeoTrust Primary Certification
Authority
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust Primary Certification
Authority
-----BEGIN CERTIFICATE-----
......
-----END CERTIFICATE-----
补充:openssl常见证书格式转换示例
PEM--DER/CER(BASE64--DER编码的转换)
PEM--P7B(PEM--PKCS#7)
PEM--PFX(PEM--PKCS#12)
PEM--p12(PEM--PKCS#12)
CER/DER--PEM(编码DER--BASE64)
P7B--PEM(PKCS#7--PEM)
P7B--PFX(PKCS#7--PKCS#12)
PFX/p12--PEM(PKCS#12--PEM)
PEM
BASE64--X.509文本格式
PFX文件中提取私钥(.key)
PEM--SPC
PEM--PVK(openssl 1.x开始支持)
PEM--PVK
对于openssl
1.x之前的版本,可以下载pvk转换器后通过以下命令完成