Références

• Documentation de keytool
• FAQ de l'IGC du CRU, en particulier, les documents keystore1 et keystore2

Les magasins de clés (KeyStores) de Java

...

% openssl pkcs12 -export -in xxx.univ-yyy.fr.crt -inkey xxx.univ-yyy.fr.key -out xxx.univ-yyy.fr.p12 -name xxx.univ-yyy.fr -CAfile ca.crt -chain
% keytool -importkeystore -srckeystore xxx.univ-yyy.fr.p12 -srcstoretype pkcs12 -srcstorepass changeit -srcalias xxx.univ-yyy.fr -destkeystore CAS.keystore -deststoretype jks -deststorepass changeit

nb : dans le cas d'un self-signed certificate, on peut supprimer les options "-CAfile ca.crt -chain"

Correspondence entre apache mod_ssl et truststore/keystore

• keyStore : SSLCertificateFile + SSLCertificateKeyFile + SSLCertificateChainFile
• trustStore : SSLCACertificateFile

Précisions :

• si SSLCertificateChainFile n'est pas donné, apache utilise SSLCACertificateFile
• SSLCACertificateFile est utilisé avec SSLVerifyClient
• le trustStore est utilisé quand java se connecte en https
• le keyStore est utilisé par tomcat pour écouter en https