如何将证书添加到 Openshift (cacerts) 中的 Java CA 证书存储？答案

【问题标题】：How add a Certificate to the Java CA Certificate Store in Openshift (cacerts)?如何将证书添加到 Openshift (cacerts) 中的 Java CA 证书存储？
【发布时间】：2017-05-19 22:54:00
【问题描述】：

我多次使用这个命令并且总是有效：

cd ../../jdk/jre/lib/security
keytool -import -trustcacerts -alias my.alias -file /../../myCert.crt -keystore cacerts

现在使用 jboss-as 7 在 openshift 中：

cd /usr/lib/jvm/java-1.7.0-openjdk-1.7.0.95/jre/lib/security
keytool -import -trustcacerts -alias my.alias -file /../.../myCert.crt -keystore cacerts

错误日志是：

Enter keystore password:
Owner: CN=...
Issuer: CN=...
Serial number:....
...
Trust this certificate? [no]:  yes
Certificate was added to keystore
keytool error: java.io.FileNotFoundException: cacerts (Permission denied)

查看档案，我发现 cacerts 文件是一个 simlink。此 simlink 有 0777 权限，但源文件有 rw-r--r-- 或 0644 权限：

/etc/pki/java/cacerts

所以我的问题是：

1.- 如何更改 openshift 中的权限？我试过了，我得到一个错误。

2.- 是否有另一种方法可以将我的证书添加到 openshift 中的 java cacerts 文件中？

3.- Openshift 提供了一些配置来做到这一点？

提前致谢！

【问题讨论】：

你能解决这个问题吗？

标签： java openshift keytool client-certificates jks

【解决方案1】：

我遇到了这个问题并找到了解决方案

一开始，我复制了默认的密钥库，然后添加了自定义证书：

    RUN mkdir -p source/configuration/security && \
        keytool --importkeystore -noprompt \
        -srckeystore /etc/pki/ca-trust/extracted/java/cacerts \
        -srcstorepass changeit \
        -destkeystore source/configuration/security/<custom>.jks \
        -deststorepass changeit

    ADD certificates /

    RUN keytool -import -v -file /certs/<my-certficate> \
        -keystore source/configuration/security/<custom>.jks \
        -noprompt -storepass changeit

【讨论】：

【解决方案2】：

这是一个操作系统权限问题，而不是 openshift、PKI 或 keytool 问题。也许您应该使用 root/管理员访问权限并修改文件权限（例如 chmod）以便您可以访问它。

【讨论】：

Openshift 现在允许超级用户访问：stackoverflow.com/a/31322169/3957754.
@JRichardsz 好的，然后在另一台机器上创建一个新的 cacerts 密钥库并将其 scp 到 openshift 服务器。配置您的服务器产品（例如 webserver）以使用新的 cacerts 密钥库作为信任库。这因产品而异，所以这是我能给你的最佳方向。如果您不能 SCP 另一个 cacerts 文件，或修改现有文件，那么我认为没有办法。\
感谢@KyleM。我会试试！！我会告诉你结果。问候。