利用工具openSSL生成证书

第一次借接触,好多不懂,查阅了各位大神的博客总结了一下,好多博客给的很模糊,哎,无奈,我来整理下吧那就

  • 首先下载工具 openSSL,下载好后安装成功后需要配置环境变量,OPENSSL_HOME=安装路径,Path=%OPENSSL_HOME%/bin,这样就配好喽.
  • 在安装的openssl的bin目录下面创建以下文件夹和文件: 创建文件夹 /demoCA/, /demoCA/newcerts/, /demoCA/certs,创建文件 index.txt,里面什么都不写入。创建文件serail.txt 打开里面写入01,然后去掉此文件的后缀名保存.
  • 下面就是硬菜了:下面操作是在命令行下面进行的操作,打开命令行,进入到openssl的安装目录bin层下操作下面的命令
    1. 生成CA证书
      openssl req -new -x509 -keyout ca.key -out ca.crt -days 3650
      此步骤需要填写一些信息

      1. 生成server端证书
        1)生成KeyPair生成密钥对
        keytool -genkey -alias server -keysize 1024 -validity 3650 -keyalg RSA -dname “CN=TJ,OU=TJ,O=ctrl1.tonze.com,L=HaiDian,S=BeiJing, C=CN” -keypass 123456 -storepass 123456 -keystore server.jks
        2)生成证书签名请求
        keytool -certreq -alias server -sigalg MD5withRSA -file server.csr -keypass 123456 -storepass 123456 -keystore server.jks
        3)用CA私钥进行签名,也可以到权威机构申请CA签名
        openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key –notext
        4)导入信任的CA根证书到keystore
        keytool -import -v -trustcacerts -alias ca_root -file ca.crt -storepass 123456 -keystore server.jks
        5)把CA签名后的server端证书导入keystore
        *keytool -import -v -alias server -file server.crt -keypass 123456 -storepass 123456 –keystore server.jks*
        !!!当服务端证书生成后,需要把demoCA/下的index.txt里面的内容删除掉,index.txt.attr文件与index.txt.old文件与serial.old文件删除掉,删除过后再去操作下面的步骤生成客户端证书才不会报错!!!

        • 3生成Client端证书
        • 1)生成KeyPair生成密钥对
          keytool -genkey -alias client -keysize 1024 -validity 3650 -keyalg RSA -dname “CN=TJ,OU=TJ,O=ctrl1.tonze.com,L=HaiDian,S=BeiJing, C=CN” -keypass 123456 -storepass 123456 -keystore client.jks
          2)生成证书签名请求
          keytool -certreq -alias client -sigalg MD5withRSA -file client.csr -keypass 123456 -storepass 123456 -keystore client.jks

3)用CA私钥进行签名,也可以到权威机构申请CA签名
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key –notext

4)导入信任的CA根证书到keystore
keytool -import -v -trustcacerts -alias ca_root -file ca.crt -storepass 123456 -keystore client.jks
5)把CA签名后的client端证书导入keystore
keytool -import -v -alias client -file client.crt -keypass 123456 -storepass 123456 –keystore client.jks
ok,客户端与服务端证书生成完成 就藏在了server.jks与client.jks中 这样就可以在mina框架中使用了,至于mima框架的使用,请看另外一篇博客啦

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。 如果不同,启动会报错,大概是下面这样的 java.io.IOException: Cannot recover key 执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以) 打开conf目录下的server.xml文件,找到以下这一段 它被注释掉了,将注释去掉,并将这一段改成以下 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。 到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。 打开你的web应用的web.xml文件,在最后加上这样一段 Protected Context /* CONFIDENTIAL 重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接 https://localhost:8443/mywebapp/。这样,我们的目的达到了。 但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。 那么还有一种稍微复杂点的方式,我们使用openssl。 首先,需要下载openssl,为了方便,可以下载一个绿色版, 加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。 如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书 如果你只是要使用https,那么证书自己签署就可以了。 在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令 openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下) maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/cert.cer" SSLCertificateKeyFile="conf/server.key" sslProtocol="TLS" /> PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下 maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/server.cer" SSLCertificateKeyFile="conf/server.key" SSLCertificateChainFile="conf/intermediate.cer" sslProtocol="TLS" /> 因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。 可能证书颁发机构只会给你服务器证书也就是server.cer, 中级的CA证书即 intermediate.cer 需要到 证书颁发机构提供的网站中去下载,具体的操作会为证书颁发机构给发的邮箱中会有相关的提示 好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available 如果遇到这个异常,说明你的tomcat没有安装apr支持 apr安装详见:http://www.blogjava.net/yongboy/archive/2009/08/31/293343.html 之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值