Извлечь ключ из хранилища ключей JKS для использования с apache2 и tomcat

Вы не можете получить закрытый ключ непосредственно из JKS, используя keytool; вместо этого вы должны сначала конвертировать в формат PKCS12, а затем использовать команду openssl. Я сделал эту работу:

1. Используйте keytool для преобразования хранилища ключей в pkcs12

   keytool -importkeystore -srckeystore jks_filename.jks -destkeystore p12_filename.p12 -deststoretype PKCS12

2. Используйте openssl для экспорта сертификата в виде файла.pem:

   openssl pkcs12 -in p12_filename.p12 -nokeys -clcerts -out cert_filename.pem

3. Используйте openssl для экспорта соответствующего закрытого ключа в виде файла.pem:

   openssl pkcs12 -in p12_filename.p12 -nocerts -out key_filename.pem

4. Обновите ssl.conf в двух местах (SSLCertificateFile и SSLCertificateKeyFile), чтобы настроить порт 443 на использование этих файлов сертификатов и ключей.

Нет никакого способа "напрямую" экспортировать что-либо, кроме сертификата. Вам нужно будет пройти промежуточный этап в формате PKCS12.

keytool -importkeystore -srckeystore rec.jks -destkeystore rec.p12 -deststoretype PKCS12

Это запросит исходные и конечные парольные фразы. Если вам нужно автоматизировать это, используйте PW=somepass keytool -srcpass:env PW ... или же keytool -srcstorepass:file filecontainingpass ...и аналогично для -deststorepass

И оттуда вы можете использовать openssl для преобразования файла PKCS12 в стандартный PEM:

openssl pkcs12 -in rec.p12 -out rec.pem

Это также будет запрашивать пароли. использование -passin env:PW или же -passin file:filename а также -passout варианты или -nodes если вы не хотите, чтобы полученный ключ был зашифрован, но будьте осторожны с тем, куда вы пишете это.

Полученный файл будет содержать ваш ключ, сертификат и, возможно, полную цепочку сертификатов.