Vérifier qu’un certificat CA est bien présent dans le Keystore

Petit article sous forme de travaux pratique :  Comment vérifier qu’un certificat CA est bien présent dans le keystore de sa JVM ? Partons du principe que notre serveur Web possède un certificat signé par l’autorité de certification « GeoTrust Global CA » Notre serveur web fonctionne correctement en https mais nous avons besoin de connecter une application java à ce serveur Web, via RMI et Java Secure Socket Extension (JSSE). Il faut donc vérifier la présence du certificat CA dans le magasin de certificat de la JRE.

• EXTRACTION

Première étape, extraire les certificats du keystore dans un fichier plat pour faciliter les recherches :

 keytool -list -v -keystore trustedcerts.jks  > /home/SAS/list_trustedcerts.jks

Note : Dans cet exemple, j’utilise le magasin de certificate trustedcerts.jks  de la JRE privé de SAS, se trouvant dans SAS-installation-directory/SASPrivateJavaRuntimeEnvironment/9.4/jre/lib/security/ Nous avons maintenant un  fichier texte comprenant l’ensemble des autorités de certification connue par la JVM SAS.  

• CONNAISSANCE

Il faut maintenant « faire connaissance » avec notre certificat CA GeoTrust Global CA . La commande ci-dessous  permet d’avoir un affichage lisible des informations de ce certificat :

Openssl x509 -in GeoTrustGlobalCA.cer -text –noout

Nous pouvons ainsi déterminer le numéro de série de certificat. Attention, son numéro de série est 23456 et non 144470 :

• VÉRIFICATION

Une recherche dans notre fichier permet de confirmer sa présence dans le magasin de certificat : Pour aller plus loin, dans le monde SAS, vous pouvez consulter la page  Ajouter vos certificats au SAS Private JRE de la documentation SAS 9.4