2

我正在尝试为一个名为 Hermes 的产品配置数字签名。

我有一个文件 MyCert.pfx 我在其配置中指定如下:

<component id="keystore-manager-for-signature" name="Key Store Manager for Digital Signature">
    <class>hk.hku.cecid.piazza.commons.security.KeyStoreManager</class>
    <parameter name="keystore-location" value="/opt/mycompany/certs/MyCert.pfx"/>
    <parameter name="keystore-password" value="12345678"/>
    <!-- parameter name="key-alias" value="joeblank"/-->
    <!-- parameter name="key-password" value="12345678"/-->
    <parameter name="keystore-type" value="PKCS12"/>
    <parameter name="keystore-provider" value="org.bouncycastle.jce.provider.BouncyCastleProvider"/>
</component>

Hermes 会抛出这样的异常:

hk.hku.cecid.ebms.spa.task.MessageValidationException: Cannot sign the ebxml message
    by hk.hku.cecid.ebms.pkg.SignatureException: [10204] Cannot sign message Exception: java.lang.NullPointerException Message: null
    Try to retreive key alias[null] from keystore[/opt/mycompany/certs/MyCert.pfx]
    by java.lang.NullPointerException

我没有 pfx 文件的别名。我在 Tomcat 的 server.xml 中使用时不需要指定一个。

还建议我应该使用这样的命令将证书导入 jsk 存储:

keytool -importkeystore -deststorepass [password] -destkeystore [JKS keystore file] -deststoretype JKS -destalias [alias] -srckeystore [p12 keystore file] -srcstoretype PKCS12 -srcstorepass [password] -srcalias [alias]

我不得不删除 -srcalias 部分,因为我没有那个部分,这要求我也删除 -destalias 。所以在这种情况下,我在 mycompany.jks 中没有要引用的已知别名

无论哪种方式,我都没有别名。我尝试使用 keytool -import 导入 pfx 文件,但这会引发“输入不是 X.509 证书”。

你们建议我接下来应该尝试什么?

4

1 回答 1

2

听起来您的应用程序在未alias指定时不使用默认值。当没有指定别名时,应用程序/库(包括 Apache Tomcat)选择他们找到的第一个别名是很常见的。但是,您的似乎需要一个。

您可以使用keytool -list -storetype PKCS12 -keystore(如果需要,使用-vtoo 以更清楚地查看别名)找到它。别名应该是在指纹之前显示类似2, Jan 12, 2012, PrivateKeyEntry(此处为“ ”)的行的第一部分。2

keystore -import确实只是为了证书。

keytool -importkeystore可用于将 PKCS#12 存储转换为 JKS 存储,但您不需要它,因为您可以指定PKCS12类型。

于 2012-01-12T13:45:27.647 回答