如何从 JKS 文件为 httpd apache 服务器生成 .key 和 .crt 文件

.jks 是密钥库，这是 Java 的东西

使用密钥工具来自 Java 的二进制文件。

导出 .crt：

keytool -export -alias mydomain -file mydomain.der -keystore mycert.jks

将证书转换为 PEM：

openssl x509 -inform der -in mydomain.der -out certificate.pem

导出密钥：

keytool -importkeystore -srckeystore mycert.jks -destkeystore keystore.p12 -deststoretype PKCS12

将 PKCS12 密钥转换为未加密的 PEM：

openssl pkcs12 -in keystore.p12  -nodes -nocerts -out mydomain.key

---

致谢：

• https://security.stackexchange.com/questions/3779/how-can-i-export-my-private-key-from-a-java-keytool-keystore
• https://stackoverflow.com/questions/2640691/how-to-export-private-key-from-a-keystore-of-self-signed-certificate
• https://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html

这是我的做法，

首先导出密钥：

keytool -importkeystore -srckeystore mycert.jks -destkeystore keystore.p12 -deststoretype PKCS12

对于 Apache SSL 证书文件，您只需要以下证书：

openssl pkcs12 -in keystore.p12 -nokeys -out my_key_store.crt

对于 SSL 密钥文件，您只需要密钥：

openssl pkcs12 -in keystore.p12 -nocerts -nodes -out my_store.key

在这里找到答案：

https://stackoverflow.com/questions/7580508/getting-chrome-to-accept-self-signed-localhost-certificate?page=2&tab=Votes

它展示了如何在 Windows 上的 Chrome 中从 jks 密钥库文件创建 crt：

• 在浏览器中使用 jks 的 url，用红线标记，左侧会出现一个锁符号

• 点击不安全部分，会打开信息对话框

• 单击证书（无效），打开后单击详细信息

• 按下复制到文件...并按照说明进行操作

最后，您将在 crt 中获得密钥库文件

从 jks 生成 crt、key 和 p12。

步骤 1： cd /opt/apps/users/app/scripts

步骤2： ./jks_to_pem.sh

步骤3：输入Keystore名称：（jks路径）

   /opt/apps/sha2certtools/certfiles/jks/kafkaAppIdentity.jks

步骤4：密码：

   ItaccatI ( after this asking key, just click on enter )

步骤5：在这里找到crt，key和p12

从 p12 生成 pem

步骤6：openssl pkcs12 -in kafkaAppIdentity.p12 -out kafkaAppIdentity.pem