OPENSSL、KEYTOOL生成服务器与客户端证二级证书签名

最新推荐文章于 2022-09-14 23:05:03 发布
最新推荐文章于 2022-09-14 23:05:03 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: java 文章标签: OPENSSL KEYTOOL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wapjia43106140/article/details/10342915
版权

.证书结构说明:

 

1.我们需要生成的证书根证书:需要三个证书 根证书, 服务器二级证书 ,客户端二级证书.

 关系如下:

 CA--       (ca.crt,ca_keystore)

 -----server  (server_keystore)

 -----client   (tomcat_client.pfx)

2.证书格式,由于服务器是JAVA写的,客户是安罩或者WINDOWS

所以证书,JAVA需要存放在KEYSTORE文件中(java存储格式);而客户端需要存放为CRT证书p12私钥证书格式.

 

.证书生成工具:

 1.证书生成工具需要Openssl 与JAVA的keytool 工具

 

 keytool安装说明:

     安装JAVA JDK环境会带有KEYTOOL工具,文件存放在JAVA安装路径的%JAVA_HOME%/bin;目录中配置环境变量PATH,加入%JAVA_HOME%/bin

 

OPENSSL安装进行说明:

假如安装路径如下:

 openssl安装在D:\OPENSSL   OPENSSL工作目录D:\CA

 

安装OPENSSL完成后需要进行如下简单配置:

   1)建立工作目录下(假如在D:\CA),在CA目录下新建目录 demoCA、demoCA/certs、demoCA/certs 、demoCA/newcerts
2)    在demoCA建立一个空文件 index.txt
3)    在demoCA建立一个文本文件 serial, 没有扩展名,内容是一个合法的16进制数字,例如 0000

4) 配置文件修改: 找到D:\OPENSSL\openssl.cfg作如下修改

 default_days =1000

[policy_match ]

countryName              = optional

stateOrProvinceName   = optional

organizationName      =optional

organizationalUnitName        = optional

commonName                 = supplied

emailAddress               = optional

 

 

 

这样就安装完成。

 

证书生成如下:

1.CMD下进入刚才我们的工作目录 d:\ca

 输入 1.D

      2. CD CA

 

2.    生成CA的自签名证书

openssl req -new -x509 -keyout ca.key -outca.crt -config d:\openssl\openssl.cfg


注意要把自己密码记到。此处密码为123456  注意密码要一致,最后输入keystore按提示可以直接回车表示密码与KEY一致

CA.CRT存放到JAVA格式中,文件名为ca_keystore

keytool -import -v -alias caroot -file ca.crt -storepass 123456-keystore  ca_keystore


3.    生成server端证书
1)    生成KeyPair生成密钥对
 keytool -genkey -alias tomcat_server-validity 365 -keyalg RSA -keysize 1024 -keypass 123456  -storepass 123456-keystore server_keystore
  输入common  name时,要和服务器的域名保持一致。此处为192.168.20.104


2)    生成证书签名请求
keytool -certreq -alias tomcat_server -sigalgMD5withRSA -file tomcat_server.csr -keypass 123456 -storepass 123456 -keystoreserver_keystore 
3)    CA私钥进行签名,也可以到权威机构申请CA签名。
   openssl ca -in tomcat_server.csr-out tomcat_server.crt -cert ca.crt -keyfile ca.key -notext -config    d:\openssl\openssl.cfg
  其中-notext表示不要把证书文件的明文内容输出到文件中去,否则在后面用keytool导入到keystore时会出错。
4)    导入信任的CA根证书到keystore
   keytool -import -v-trustcacerts  -alias my_ca_root -file ca.crt -storepass 123456 -keystoreserver_keystore
5)    CA签名后的server端证书导入keystore
keytool -import -v -alias tomcat_server -filetomcat_server.crt -storepass 123456 -keystore server_keystore
6)    查看server端证书
   keytool -list -v -keystoreserver_keystore  
 可以看到tomcat_server的证书链长度是2
 
4.    生成client端证书
1)    生成客户端CSR
   openssl genrsa -des3 -outtomcat_client.key 1024
openssl req -new -key tomcat_client.key -outtomcat_client.csr -config d:\openssl\openssl.cfg
2)    CA私钥进行签名,也可以到权威机构申请CA签名
openssl ca -in tomcat_client.csr -outtomcat_client.crt -cert ca.crt -keyfile ca.key -notext -config d:\openssl\openssl.cfg
3)    生成PKCS12格式证书
openssl pkcs12 -export -inkeytomcat_client.key -in tomcat_client.crt -out  tomcat_client.pfx

如果需要查看证书内容使用Keytool列出pkcs12证书的内容:
   keytool -rfc -list -keystoretomcat_client.pfx -storetype pkcs12

  keytool-list -v -keystore tomcat_client.pfx -storetype pkcs12

 

这样就完成了证书生成.

生成根证书 CA.CRT ca_keystore  密码123456

sever证书存放在keystore server_keystore 密码123456

client证书tomcat_client.pfx密码123456

 

 

wapjia43106140
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
证书生成工具
12-21
包含多个windows系统下证书生成工具,可以使用脚本一建生成常用的证书类型
https详解之 证书服务器证书、用户证书的区别 jg证书
yuezhilangniao的博客
12-02 3738
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是证书。 操作系统预先安装的一些证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些证书的孙证书证书签发中间证书,中间证书签发ssl证书证书链的顺序是:ssl证书+中间证书证书证书链上的每个证书都是被它相邻的证书签发。
证书相关概念及使用openssl生成自认证书
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
07-03 1100
1    基本概念   证书证书负责其他可信任证书的颁发,不同的CA机构具有不同的证书。通过openssl我们可以自建CA证书(不属于权威机构颁发的,但经常部署证书测试需要用到),用于颁发其他证书(用证书的私钥对其他证书进行签名,从而保其他证书的可信性)。 证书原理:证书用自己的私钥签署了服务端证书,验时要证书的公钥解密服务端证书,从而达到了身份验。这种方式也叫做数
KeyTool生成证书链及在java、c#中的运用
flyinmind的专栏
09-14 3052
SSL中用到证书,那么证书是什么?证书可以理解为一个包含了签发方信息、拥有者信息、公钥、由签发方私钥产生的签名等信息的文档,当然还包括其他一些信息。校验用户证书是否可信,实际上就是检验该证书是否由合法的机构签发的。校验时,通过该证书中的结构信息找到对应机构的证书,利用机构证书中的公钥去校验用户证书中的签名是否正确。从上述校验方法可以看出,证书是否可信,是由其签发方证书来校验的,而机构的证书是否可信,是由上一层机构的证书来校验的,如此就形成一条证书链,最顶层机构的证书的就是常说的证书
keytool制作CA证书以及颁发二级证书
fengwind1的专栏
08-12 2万+
keytool是jdk自带的一款ssl管理工具,jdk6和jdk7的keytool命令有些不同,jdk7的兼容jdk6的,这里用的是jdk7下的keytool。搞了两天,遇到各种问题,甚是艰难啊 [root@localhost ~]# keytool -help 密钥和证书管理工具 命令: -certreq 生成证书请求 -changealias 更改
keytool创建二级证书
q893332169的博客
08-25 460
前言 ​ 上文介绍了如何创建https证书并使谷歌信任该证书(https://blog.csdn.net/q893332169/article/details/108081531),本文介绍,通过上文生成证书来制作二级证书。 查看密钥库里面的内容 keytool -list -keystore ./https_demo1.keystore -v 生成证书 keytool -genkeypair -alias secoundCert -keyalg RSA -validity 36500 -store
KeytoolOpenSSL生成和签发数字证书
iteye_13789的博客
07-07 291
一)keytool生成私钥文件(.key)和签名请求文件(.csr),openssl签发数字证书J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool,用于管理密钥、证书证书链。Keytool工具的命令在JavaSE6中已经改变,不过以前的命令仍然支持。Keytool也可以用来管理对称加密算法中的密钥。最简单的命令是生成一个自签名证书,并把它放到指定的keystore...
openssl生成的多级CAdemo
05-14
openssl生成的多级CAdemo,包含三级CA以及由三级CA签发的服务器证书,为了安全起见,请勿将其用于生产环境
OpenSSL 生产自签名证书二级证书
白开水的博客
07-12 2084
使用 OpenSSL 生产自签名 SSL 证书过程 操作步骤 * openssl版本:1.0.2k 生成证书私钥 利用openssl命令的子命令genrsa生成私钥,然后再使用子命令rsa私钥中提取公钥。 openssl genrsa -out ca.key 2048 使用默认的加密算法是rsa 指明生成的私钥大小是2048; 生成证书请求文件(CSR) 比如我自己的网站,需要使用https 通信,那么我向“证书机构”申请数字证书的时候,就需要向他们提供相应的信息,这些信息以特定文件格式(
【SSL】使用Keytool工具生成证书签名完整步骤
热门推荐
sayyy的专栏
10-26 3万+
使用Keytool工具生成证书签名完整步骤 创建证书库(keystore)及证书(Certificate) 生成证书签名请求(CSR) 将已签名证书导入证书库 下面以为”www.mydomain.com“域名制作数字证书为例进行操作。 创建证书库(keystore)及证书(Certificate) 命令如下: keytool -genkeypair / -...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
OpenSSL创建生成CA证书服务器客户端证书及密钥
05-19
OpenSSL创建生成CA证书服务器客户端证书及密钥,配套。https://blog.csdn.net/qq153471503/article/details/109524764
java + keytool+openssl 实现批量生成客户端证书
06-07
使用Java实现据ca购买到的证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层...
0017音乐播放器(1)AdobeXD源码下载设计素材UI设计.xd
04-23
0017音乐播放器(1)AdobeXD源码下载设计素材UI设计
这是我为某科技创新大赛所做的作品,一个残疾人鼠标,用头操纵。.zip
04-23
这是我为某科技创新大赛所做的作品,一个残疾人鼠标,用头操纵。
Company_Responsive_Landing_PageAdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
Company_Responsive_Landing_PageAdobeXD源码下载设计素材UI设计
案例中用到的nobel-prizes.csv文件
04-23
案例中用到的nobel-prizes.csv文件
如何使用openssl生成服务器客户端证书和私钥的pem文件
06-10
要使用openssl生成服务器客户端证书和私钥的pem文件,可以按照以下步骤进行: 1. 生成服务器证书和私钥 a. 生成服务器私钥的pem文件: 使用以下命令生成2048位RSA密钥并将其保存为server.key文件: ``` openssl genrsa -out server.key 2048 ``` b. 生成服务器证书的pem文件: 使用以下命令生成服务器证书,并将其保存为server.crt文件: ``` openssl req -new -key server.key -out server.csr openssl x509 -req -in server.csr -signkey server.key -out server.crt ``` 在生成证书时,需要输入一些证书的信息,例如国家、省份、组织名称、通用名称等。 2. 生成客户端证书和私钥 a. 生成客户端私钥的pem文件: 使用以下命令生成2048位RSA密钥并将其保存为client.key文件: ``` openssl genrsa -out client.key 2048 ``` b. 生成客户端证书的pem文件: 使用以下命令生成客户端证书,并将其保存为client.crt文件: ``` openssl req -new -key client.key -out client.csr openssl x509 -req -in client.csr -signkey client.key -out client.crt ``` 在生成证书时,需要输入一些证书的信息,例如国家、省份、组织名称、通用名称等。 注意:在生成证书和私钥时,请务必保护好您的私钥,避免泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值