java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: IOException : algid parse error, not a sequence 报错解决

错误信息

Caused by: java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: IOException : algid parse error, not a sequence at jdk.crypto.ec/sun.security.ec.ECKeyFactory.engineGeneratePrivate(ECKeyFactory.java:170) ~[jdk.crypto.ec:na] at java.base/java.security.KeyFactory.generatePrivate(KeyFactory.java:389) ~[na:na] at io.netty.handler.ssl.SslContext.getPrivateKeyFromByteBuffer(SslContext.java:1236) ~[netty-handler-4.2.7.Final.jar:4.2.7.Final] ... 33 common frames omitted Caused by: java.security.InvalidKeyException: IOException : algid parse error, not a sequence at java.base/sun.security.pkcs.PKCS8Key.decode(PKCS8Key.java:135) ~[na:na] at java.base/sun.security.pkcs.PKCS8Key.<init>(PKCS8Key.java:95) ~[na:na] at jdk.crypto.ec/sun.security.ec.ECPrivateKeyImpl.<init>(ECPrivateKeyImpl.java:78) ~[jdk.crypto.ec:na] at jdk.crypto.ec/sun.security.ec.ECKeyFactory.implGeneratePrivate(ECKeyFactory.java:245) ~[jdk.crypto.ec:na] at jdk.crypto.ec/sun.security.ec.ECKeyFactory.engineGeneratePrivate(ECKeyFactory.java:166) ~[jdk.crypto.ec:na] ... 35 common frames omitted

错误原因

传入的私钥串privateKey格式不是PKC8格式,其中错误的privateKey是通过openssl生成的私钥,将文件中去掉私钥头(-----BEGIN RSA PRIVATE KEY-----)和私钥尾(-----END RSA PRIVATE KEY-----)得到

1)先快速判断 server.key 是什么

打开 D:\test\server.key 看第一行:

  • 私钥应该是下面之一:

    • -----BEGIN PRIVATE KEY-----(PKCS#8)
    • -----BEGIN RSA PRIVATE KEY-----(PKCS#1)
    • -----BEGIN EC PRIVATE KEY-----
    • -----BEGIN ENCRYPTED PRIVATE KEY-----(加密私钥)

  • 如果是:

    • -----BEGIN CERTIFICATE----- → 这是证书,不是私钥
    • 乱码二进制 → 多半是 DER / p12 / jks

2)最稳的修复:把私钥转成 PKCS#8(无密码)

不管你原来是什么 PEM 私钥,统一转 PKCS#8 最稳:

openssl pkcs8 -topk8 -inform PEM -in D:\test\server.key -out D:\test\server-pkcs8.key -nocrypt

如果原私钥是加密的,openssl 会提示输入密码。你也可以在 yml 里填 serverKeyPassword(但我更建议转成无密码私钥并用文件权限保护)。

3)如果你这套证书是(JKS / P12),需要先导出 PEM 私钥

3.1 如果你有 server.p12

openssl pkcs12 -in D:\test\server.p12 -nocerts -nodes -out D:\test\server.key

再执行第 2 步转 PKCS#8。

3.2 如果你只有 server.jks

先转 p12:

keytool -importkeystore -srckeystore D:\test\server.jks -srcstoretype JKS -destkeystore D:\test\server.p12 -deststoretype PKCS12

再按 3.1 导出 key,然后按第 2 步转 PKCS#8。

4)验证一下是否成功(建议)

openssl pkey -in D:\test\server-pkcs8.key -text -noout

能正常输出 RSA/EC 信息就对了。

posted @ 2025-12-17 16:05  zhubayi  阅读(6)  评论(0)    收藏  举报