java.security.InvalidKeyException: IOException : algid parse error, not a sequence 报错解决

错误信息

Caused by: java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: IOException:algid parse error, not a sequence at jdk.crypto.ec/sun.security.ec.ECKeyFactory.engineGeneratePrivate(ECKeyFactory.java:170)~[jdk.crypto.ec:na]at java.base/java.security.KeyFactory.generatePrivate(KeyFactory.java:389)~[na:na]at io.netty.handler.ssl.SslContext.getPrivateKeyFromByteBuffer(SslContext.java:1236)~[netty-handler-4.2.7.Final.jar:4.2.7.Final]...33common frames omitted Caused by: java.security.InvalidKeyException: IOException:algid parse error, not a sequence at java.base/sun.security.pkcs.PKCS8Key.decode(PKCS8Key.java:135)~[na:na]at java.base/sun.security.pkcs.PKCS8Key.<init>(PKCS8Key.java:95)~[na:na]at jdk.crypto.ec/sun.security.ec.ECPrivateKeyImpl.<init>(ECPrivateKeyImpl.java:78)~[jdk.crypto.ec:na]at jdk.crypto.ec/sun.security.ec.ECKeyFactory.implGeneratePrivate(ECKeyFactory.java:245)~[jdk.crypto.ec:na]at jdk.crypto.ec/sun.security.ec.ECKeyFactory.engineGeneratePrivate(ECKeyFactory.java:166)~[jdk.crypto.ec:na]...35common frames omitted

错误原因

传入的私钥串privateKey格式不是PKC8格式，其中错误的privateKey是通过openssl生成的私钥，将文件中去掉私钥头（-----BEGIN RSA PRIVATE KEY-----）和私钥尾（-----END RSA PRIVATE KEY-----）得到

1）先快速判断server.key是什么

打开D:\test\server.key看第一行：

• 私钥应该是下面之一：

  • -----BEGIN PRIVATE KEY-----（PKCS#8）
  • -----BEGIN RSA PRIVATE KEY-----（PKCS#1）
  • -----BEGIN EC PRIVATE KEY-----
  • -----BEGIN ENCRYPTED PRIVATE KEY-----（加密私钥）

• 如果是：

  • -----BEGIN CERTIFICATE-----→ 这是证书，不是私钥
  • 乱码二进制 → 多半是 DER / p12 / jks

2）最稳的修复：把私钥转成PKCS#8（无密码）

不管你原来是什么 PEM 私钥，统一转 PKCS#8 最稳：

openssl pkcs8 -topk8 -inform PEM -in D:\test\server.key -out D:\test\server-pkcs8.key -nocrypt

如果原私钥是加密的，openssl 会提示输入密码。你也可以在 yml 里填serverKeyPassword（但我更建议转成无密码私钥并用文件权限保护）。

3）如果你这套证书是（JKS / P12），需要先导出 PEM 私钥

3.1 如果你有server.p12

openssl pkcs12 -in D:\test\server.p12 -nocerts -nodes -out D:\test\server.key

再执行第 2 步转 PKCS#8。

3.2 如果你只有server.jks

先转 p12：

keytool -importkeystore -srckeystore D:\test\server.jks -srcstoretype JKS -destkeystore D:\test\server.p12 -deststoretype PKCS12

再按 3.1 导出 key，然后按第 2 步转 PKCS#8。

4）验证一下是否成功（建议）

openssl pkey -in D:\test\server-pkcs8.key -text -noout

能正常输出 RSA/EC 信息就对了。