Я пытаюсь добавить несколько сертификатов открытого ключа в свой файл CAcerts. Раньше я делал это, напрямую изменяя хранилище ключей:
keytool -keystore /etc/pki/java/cacerts -importcert -alias mail.mysite.com -noprompt -file myCert.pem
С тех пор я узнал, что более правильный способ сделать это — добавить мои файлы PEM в /etc/pki/ca-trust/source/anchors/ и повторно сгенерируйте файл сертификата с update-ca-trust команда.
Я успешно сделал это с сертификатами DoD PKI от Cyber.mil., сначала преобразовав их файл P7B в PEM.
openssl pkcs7 -print_certs -in certificates_pkcs7_v5_11_dod_pem.p7b -out certificates_pkcs7_v5_11_dod.pem
sudo cp certificates_pkcs7_v5_11_dod.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract
Я знаю, что правильно добавил сертификаты, потому что команда keytool -list -cacerts показывает, что количество записей хранилища ключей увеличилось.
Я хотел бы сделать это для некоторых наших местных веб-сайтов. Следующая команда дает мне файл PEM, который я могу добавить, используя keytool (см. выше), но не работает, когда я добавляю файл в /etc/pki/ca-trust/source/anchors/.
openssl s_client -connect mail.mysite.com:443 </dev/null | openssl x509 -outform pem > myCert.pem
Моя среда:
- Амазон Линукс 2
- openssl.x86_64 1:1.0.2k-24.amzn2.0.6 @amzn2-ядро
- temurin-11-jdk.x86_64 11.0.18.0.0.10-2 @Adoptium (предоставляет
keytool)
Каков наилучший (правильный?) способ добавить сертификат сайта в мой файл cacerts?