usando OpenSSL para crear el archivo .pfx

Question

Me han ofrecido algunos comandos para crear un archivo .pfx usando OpenSSL. En su mayor parte, mi pareja se reunieron esta información a partir de: Is it possible to convert an SSL certificate from a .key file to a .pfx?

tengo los siguientes archivos:

1. 2010certificate.cer
2. 2010cert_and_key.pem
3. private_verisign10to11.key

He intentado generar con ambos:

openssl pkcs12 -export -out s2010-1.pfx -inkey private_verisign10to11.key -in 2010cert_and_key.pem -certfile 2010certificate.cer 
and 
openssl pkcs12 -export -out s2010-1.pfx -inkey private_verisign10to11.key -in 2010certificate.cer -certfile 2010cert_and_key.pem 

No se producen errores en esta situación, pero cuando intento ver o importar el archivo generado s2010-1.pfx, Protecle dice que no puede abrirlo. Keytool dice:

keytool -import -file s2010-1.pfx x -keystore cacerts -alias fqdn -storepass <.pfx's pass word> 
keytool error: java.lang.Exception: Input not an X.509 certificate 

estoy asumiendo el problema es con la generación .pfx, pero no se sabe muy bien cómo poner a prueba hasta que el comando keytool. Cualquier sugerencia sobre qué hacer desde aquí sería genial.

Answer 1

Intente utilizar TinyCA para abrir cada uno de sus 3 archivos, porque pueden ser algo más de lo que dice su extensión, especialmente los .pem. Luego use TinyCA para exportar las claves; Hay una ventana de mensaje que muestra tanto el comando openssl como la salida de dicho comando.

Answer 2

El problema es porque keytool -importcert (-import en Java < 1.6) solo admite la importación de certificados x509.

Para importar un PKCS12 (a veces entregado en un archivo .pfx) en un archivo Java .jks, incluyendo cacerts:

keytool -importkeystore -srckeystore my.pfx -srcstoretype PKCS12 -srcstorepass <mysecret> -destkeystore cacerts -deststoretype JKS -deststorepass changeit