MySQL 8.x 自签证书通过keytool和openssl转成JKS文件

一、写在前面

数据库MySQL 8.0 通过自签命令在datadir下生成了所有的证书文件。由于Java的JDK不支持直接加载PEM格式的证书，所以需要将PEM格式证书转换成Java能够直接加载的JKS格式证书。我们需要将根证书ca.pem转换成JKS格式的根证书truststore.jks，将client-cert.pem和client-key.pem转换成JKS格式的证书keystore.jks。

假设有三个PEM证书文件：

ca.pem —— 根证书文件
client-cert.pem —— 证书文件
client-ckey.pem —— 证书的密钥文件

二、当前环境

系统：windows 11 

OpenSSL:Win64OpenSSL-3_1_4.msi

JDK版本：Eclipse Temurin openjdk version "1.8.0_382"

三、导出Truststore证书

使用keytool工具将根证书ca.pem转换成JKS格式的truststore.jks文件

keytool -import -file ca.pem -keystore truststore.jks

为导出JKS格式的truststore.jks文件设置密码，需要验证2次，完成后回车。

上述输入yes后信任此证书。

完成后提示添加到keystore，成功后在当前目录生成truststore.jks文件。

四、导出Keystore证书

使用openssl将client-cert.pem和cert.key.pem（证书和证书的密钥文件）导出到PKCS12格式的证书文件（p12证书）

openssl pkcs12 -export -out client.p12 -in client-cert.pem -inkey client-key.pem

注意：如果证书文件client_key.pem设置了密码，则需要输入正确的文件密码,没有就是留空敲回车；另外，必须为导出的p12证书client.p12设置密码。

下面是生成的P12文件

 我们使用jetty提供的工具包完成下面操作,将p12证书转换成我们需要的JKS证书keystore.jks

下载jetty提供的工具包放到证书目录 

java -cp jetty-6.1.26.jar org.mortbay.jetty.security.PKCS12Import client.p12 keystore.jks

Enter input keystore passphrase:即之前导出cert.p12文件所设置的密码；
Enter output keystore passphrase:即为导出的keystore.jks证书设置密码（必须设置密码）。

就成功将client_cert.pem和client_key.pem证书文件和证书的PEM文件转换成JKS格式的证书keystore.jks