如何将PEM证书转换成JKS证书

      在使用SSL/TLS进行通信的时候，经常需要加载OpenSSL生成的PEM格式证书。由于Java的JDK不支持直接加载PEM格式的证书，所以需要将PEM格式证书转换成Java能够直接加载的JKS格式证书。
      使用OpenSSL生成自签发的PEM证书可以参考此篇文章：OpenSSL Certificate Authority

假设有三个PEM证书文件：

• ca.cert.pem —— 根证书文件
• cert.cert.pem —— 证书文件
• cert.key.pem —— 证书的密钥文件

我们需要将根证书ca.cert.pem转换成JKS格式的根证书truststore.jks；并将cert.pem和cert.key.pem转换成JKS格式的证书keystore.jks。

1 导出Keystore证书

      执行如下的openssl指令，将cert.pem和cert.key.pem（证书和证书的密钥文件）导出到PKCS12格式的证书文件（p12证书）：

openssl pkcs12 -export -out cert.p12 -in cert.pem -inkey cert.key.pem
Enter pass phrase for cert.key.pem:
Enter Export Password:
Verifying - Enter Export Password:

      注意：如果证书的密钥文件cert.key.pem设置了密码，则需要输入正确的密钥文件密码；另外，必须为导出的p12证书cert.p12设置密码！！
      接下来将p12证书转换成我们需要的JKS证书keystore.jks，我们使用jetty提供的工具包完成此操作（下载jetty工具包：jetty-6.1.26.jar）：

java -cp jetty-6.1.26.jar org.mortbay.jetty.security.PKCS12Import cert.p12 keystore.jks
Enter input keystore passphrase: 123..123.
Enter output keystore passphrase: 321..321.
Alias 0: 1
Adding key for alias 1

      Enter input keystore passphrase:即之前导出cert.p12文件所设置的密码；
      Enter output keystore passphrase:即为导出的keystore.jks证书设置密码（必须设置密码）。

      以上，就成功将cert.pem和cert.key.pem证书文件和证书的密钥文件转换成JKS格式的证书keystore.jks

2 导出Truststore证书

      接下来，我们使用keytool工具将根证书ca.cert.pem转换成JKS格式的truststore.jks文件：

keytool -import -file ca.cert.pem -keystore truststore.jks
Enter keystore password:  
Re-enter new password: 
  这里省略输出的信息 ....
Trust this certificate? [no]:  yes
Certificate was added to keystore

      Enter keystore password:为导出的truststore.jks设置密码；Trust this certificate? [no]:输入yes即可。

——————–【参考文章】——————–

1. Converting PEM certificates and private keys to JKS
2. How to get your java keystore/truststore from pem files
3. How to use self-signed PEM client certificates in Java