如何将PEM证书转换成JKS证书

在使用SSL/TLS进行通信的时候，经常需要加载OpenSSL生成的PEM格式证书。由于Java的JDK不支持直接加载PEM格式的证书，所以需要将PEM格式证书转换成Java能够直接加载的JKS格式证书。
使用OpenSSL生成自签发的PEM证书可以参考此篇文章：[**OpenSSL Certificate Authority ]**(https://jamielinux.com/docs/openssl-certificate-authority/index.html)
假设有三个PEM证书文件：

ca.cert.pem —— 根证书文件
cert.cert.pem —— 证书文件
cert.key.pem —— 证书的密钥文件
我们需要将根证书ca.cert.pem转换成JKS格式的根证书truststore.jks；并将cert.pem和cert.key.pem转换成JKS格式的证书keystore.jks。

1.导出Keystore证书

执行如下的openssl指令，将cert.pem和cert.key.pem（证书和证书的密钥文件）导出到PKCS12格式的证书文件（p12证书）：

openssl pkcs12 -export -out cert.p12 -in cert.pem -inkey cert.key.pem
Enter pass phrase for cert.key.pem:
Enter Export Password:
Verifying - Enter Export Password:

注意：如果证书的密钥文件cert.key.pem设置了密码，则需要输入正确的密钥文件密码；另外，必须为导出的p12证书cert.p12设置密码！！
接下来将p12证书转换成我们需要的JKS证书keystore.jks，我们使用jetty提供的工具包完成此操作（下载jetty工具包：jetty-6.1.26.jar）：

java -cp jetty-6.1.26.jar org.mortbay.jetty.security.PKCS12Import cert.p12 keystore.jks
Enter input keystore passphrase: 123..123.
Enter output keystore passphrase: 321..321.
Alias 0: 1
Adding key for alias 1

  Enter input keystore passphrase:即之前导出cert.p12文件所设置的密码；
  Enter output keystore passphrase:即为导出的keystore.jks证书设置密码（必须设置密码）。
    以上，就成功将cert.pem和cert.key.pem证书文件和证书的密钥文件转换成JKS格式的证书keystore.jks

2 导出Truststore证书

      接下来，我们使用keytool工具将根证书ca.cert.pem转换成JKS格式的truststore.jks文件：
      	keytool -import -file ca.cert.pem -keystore truststore.jks
		Enter keystore password:  
		Re-enter new password: 
		  这里省略输出的信息 ....
		Trust this certificate? [no]:  yes
		Certificate was added to keystore

Enter keystore password:为导出的truststore.jks设置密码；Trust this certificate? [no]:输入yes即可。

参考文章：https://biteeniu.github.io/ssl/convert_pem_to_jks/

可以直接将ca证书导入jdk库中：
cd /usr/java/jre1.8.0_73/lib/security/

keytool -import -alias 证书名 -keystore cacerts -file 证书路径/test.cer -trustcacerts

或者：
keytool -import -alias k8struststore -file E:/tmp/ca.pem -keystore E:/tmp/truststore.jks

此时命令行会提示你输入cacerts证书库的密码，你敲入changeit就行了，这是java中cacerts证书库的默认密码，