Exportar su certificado a un archivo


Si desea respaldar su certificado para utilizar en el mismo u otro servidor web también conJava solo necesita copiar el archivo .keystore a un medio extraible.

Si desea exportar su certificado para importar en otro servidor web sinJava deberá descargar e instalar un programa externo para poder hacerlo ya que la herramienta keytool no cuenta con un comando para extraer la clave privada del .keystore.

Alguno de los programas que le permitirán hacer la exportación de la clave privada son: KeyTool-IUI, Portecle, Keystore Explorer

Importar su certificado desde un archivo


Para utilizar su archivo .pfx o .p12 como keystore para tomcat debe ejecutar el siguiente comando:
keytool -import -alias tomcat -keystore archivo.p12

Su keystore se encuentra ahora listo para ser configurado en tomcat modificando el archivo server.xml de la siguiente forma:

keystoreType="PKCS12"
keystoreFile="archivo.p12"
keystorePass=Contraseña

Convertir su certificado de .pfx o .p12 a .jks

Deberá contar con openssl y alguno de los programas que le permitirán convertir el formato de su certificado como por ejemplo: KeyTool-IUI, Portecle, Keystore Explorer

Cualquiera de estos programas tienen la opción de abrir un .pfx o .p12 y guardarlo como .jks o .keystore cambiando el formato de manera sencilla. En nuestra experiencia, todos ellos fallan en importar el archivo en formato .pfx o .p12si existe la más mínima diferencia en formatos.

Si estos programas fallan en abrir su .pfx o .p12 deberá seguir estos pasos para convertir su certificado en un formato que estos programas puedan abrir.

(Puede descargar openssl para Windows de aqui)

Extraer su clave privada y convertirla

openssl pkcs12 -in archivo.pfx -nocerts -nodes -out clavepriv.pem
openssl rsa -in clavepriv.pem -out convertpriv.pem

Extraer sus certificados

openssl pkcs12 -in archivo.pfx -nokeys -out cert.pem

Generar keystore

Ahora debe crear un nuevo keystore vacío utilizando alguno de los programas mencionados e importar la clave privada y el certificado extraídos, ya sea por separado (KeyTool-IUI) o concatenando los certificados al archivo de la clave (Portecle)

Concatenar archivos

Windows
copy convertpriv.pem+cert.pem completo.pem

Linux
cat convertpriv.pem cert.pem > completo.pem