我阅读了一些关于将密钥从 PEM 转换为 DER 以便 Java 可以读取它们的已知问题,然后我开始阅读这篇文章。完成后,这可以正常工作 - 生成 RSA 密钥对openssl
,密钥加载正常,用公钥加密的内容用私钥成功解码。
现在,这是不清楚的部分。
不久前,我在设置 OpenVPN 服务器时使用 Easy-RSA 实用程序生成了 PKI。在这里,创建了一个自签名证书。输出文件,其中包括:
server.csr ------ // 证书请求
server.key ------// 私钥
server.crt --------// 自签名证书/公钥/不管这是什么..?
仅供参考,easy-RSA 有文档说明(页面底部是解释的脚本,我们可以看到openssl
过程中实际使用的命令)。
因此,我在这些文件上尝试了上述逻辑,将它们server.key
用作我的私钥文件和 server.crt
我的公钥文件,它们之前都转换为 Java 可读的 DER 格式:
openssl pkcs8 -topk8 -inform PEM -outform DER -in server.key -out server_private_key.der -nocrypt openssl x509 -inform PEM -outform DER -text -in server.crt -out server.der
私钥,并不奇怪,工作正常,即它在 Java 中成功加载。
公钥(同样,可能并不奇怪)不会加载,但我不知道原因,因为我对所有这些事情并不熟悉。我的猜测是这与正在签署的证书有关,我想知道在这些情况下如何处理。我得到以下异常:
java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException:IOException: ObjectIdentifier() -- data isn't an object ID (tag = -96)
at sun.security.rsa.RSAKeyFactory.engineGeneratePublic(RSAKeyFactory.java:188)
at java.security.KeyFactory.generatePublic(KeyFactory.java:304)
at aes.utils.KeyReaderUtil.getPublicKeyFromFile(KeyReaderUtil.java:57)
at aes.utils.Main.main(Main.java:69)
Caused by: java.security.InvalidKeyException: IOException: ObjectIdentifier() -- data
isn't an object ID (tag = -96)
at sun.security.x509.X509Key.decode(X509Key.java:380)
at sun.security.x509.X509Key.decode(X509Key.java:386)
at sun.security.rsa.RSAPublicKeyImpl.<init>(RSAPublicKeyImpl.java:66)
at sun.security.rsa.RSAKeyFactory.generatePublic(RSAKeyFactory.java:281)
at sun.security.rsa.RSAKeyFactory.engineGeneratePublic(RSAKeyFactory.java:184)
... 3 more
此外,当我从现有的server.key
私钥文件中“导出”公钥时,就像这样(如上面的文章):
openssl rsa -in server.key -pubout -outform DER -out server_public_key.der
一切都恢复正常了。
所以,我的问题是:什么是正确的方法,为什么server.crt
不能作为公钥加载?