openssl keytool 制作签名证书

最新推荐文章于 2024-04-26 14:20:29 发布
最新推荐文章于 2024-04-26 14:20:29 发布
阅读量5k 收藏 1
点赞数
分类专栏: 其它
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/conquer0715/article/details/45095335
版权

生成CA私钥和自签名证书

1.生成CA私钥

openssl genrsa -out ca-key.pem 2048

2.根据私钥生成证书请求文件(csr)
openssl req -new -out ca-req.csr -key ca-key.pem

3.用CA私钥进行自签名的证书
openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 365

上述步骤生成的证书,可用作根证书对其它证书进行签名

Java生成私钥(存储在keystore中)和签名

1.创建私钥

keytool -genkey -alias myserver -validity 365 -keyalg RSA -keysize 2048 -keypass changeit -storepass changeit -dname "cn=localhost, ou=MyGroup, o=MyCompany, l=Beijing, st=Beijing, c=CN" -keystore server.keystore 

2.根据私钥生成证书请求文件(csr)
keytool -certreq -alias myserver -sigalg MD5withRSA -file server.csr -keypass changeit -keystore server.keystore -storepass changeit

3.使用openssl作为ca对java产生的csr进行签名

openssl x509 -req -in server.csr -out server-cert.pem -CA ca-cert.pem -CAkey ca-key.pem -days 365 -CAcreateserial

4.导入信任的openssl的CA根证书到JDK的Root信任库

将CA根证书添加到JDK的信任库后,经过此CA根证书签名的服务器证书server-cert.pem才能找到合法的证书链,否则在签名过的证书导回到keystore时会出现证书链错误。
keytool -import -v -trustcacerts -storepass changeit -alias root -file ca-cert.pem -keystore ${JAVA_HOME}/jre/lib/security/cacerts
注:如果服务器启动文件中不配置-Djavax.net.ssl.trustStore,默认信任库文件会从${JAVA_HOME}/jre/lib/security/cacerts中查找;
5.把CA签名后的服务器证书导回keystore
keytool -import -v -trustcacerts -storepass changeit -alias myserver -file server-cert.pem -keystore server.keystore 

到这里,服务器端的证书和签名就完成了!

PS:如果不经过CA的签名,java默认生成的自签名证书也是可以用的,而且也可以到处客户端需要的p12证书。

生成客户端证书

方式一:使用openssl

1.生成客户端私钥
openssl genrsa -out client-key.pem 2048

2.根据客户端私钥生成客户端证书请求文件(csr)
openssl req -new -out client-req.csr -key client-key.pem
3.使用可信CA的私钥进行签名(该CA无需和服务器CA一致)
openssl x509 -req -in client-req.csr -out client.crt -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365

4.生成client端的个人证书
openssl pkcs12 -export -clcerts -in client.crt -inkey client-key.pem -out client.p12

方式二:直接从密钥库导出(建议用作测试)

使用keytool工具直接导出p12格式的证书。


安装客户端证书(以在IE上安装客户端证书为例)

"Internet选项"--- "导入"。将ca-cert.pem重命名为ca-cert.cer然后导入。ca-cert.cer是CA根证书,导入后使其成为客户信任的CA。
双击client.p12文件,导入client.p12,client.p12是PKCS12格式的个人证书。IE能够识别证书类型并根据类型确定证书存储位置。


PS:双方双向SSL通信,需要设置互相信任!!!

conquer0715
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
keytool自签证书
santian
09-04 184
【代码】keytool自签证书
SSL双向验证--keytool实现自签名证书
a546835886的博客
05-11 1181
一、服务端 1. 生成密钥 --- kserver.keystore 是给服务端用的,其中保存着自己的私钥 keytool -genkey -alias serverkey -keystore ./kserver.keystore -dname CN=test-server,OU=CTF,O=CTF1,L=SHH,ST=SHH,C=CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456 -v 2. 导出密钥证书kserv...
keytoolopenssl的使用
最新发布
wang0907的博客
04-26 612
在生成公钥私钥,配置https时经常需要用到keytoolopenssl工具,本文就一起看下其是如何使用的。keytooljdk自带的工具,不需要额外下载,但openssl需要额外。
keytool生成自签名证书或CA根证书
weixin_40857858的博客
08-18 1656
1、keytool生成自签名证书 @echo on #1.生成密匙 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
OpenSSL生成CA自签名证书和颁发证书证书提取
Javazzc123的专栏
11-03 4886
>openssl x509 -req -in xxx/xxx-req.csr -out xxx/xxx-cert.pem -signkey xxx/xxx-key.pem -CA ca/ca-cert.pem -CAkey ca/root-key.pem -CAcreateserial -days 3650 ##签署服务器证书。$>openssl req -new -out xxx/xxx-req.csr -key xxx/xxx-key.pem ##创建证书请求。
OpenSSL生成CA自签名证书和颁发证书
FLY的博客
08-05 6366
openssl ca
openssl+keytool+tomcat自签名证书
07-24
### 使用OpenSSLKeytool为Tomcat生成自签名证书详解 #### 前言 在进行Web应用开发的过程中,为了确保数据传输的安全性,越来越多的应用选择通过HTTPS协议来进行通信。HTTPS协议的基础是SSL/TLS协议,它需要客户端...
OpenSSL证书制作过程
12-01
##### 2.3.3 请求CA签名服务器待签名证书,得到经CA签名的服务器证书 - 使用`openssl x509 -req -in server.csr -CA ca-cert.cer -CAkey dsakey -set_serial 01 -out server_signed.crt`生成经CA签名的服务器证书`...
openSSL制作证书并在tomcat上配置
05-21
2. 生成CA自签名证书:`openssl req -new -x509 -key ca.key -out ca.crt` CA签名证书文件 使用生成的CA证书签名服务器端和客户端的证书文件。下面是签名证书文件的步骤: 1. 使用CA证书签名服务器端证书文件:`ca...
cas 自签名证书制作及应用 操作说明及相关配置
05-17
1、该文档执行的前提:windows、安装openssl工具、下载nginx服务器、安装jdk并配置环境变量 (压缩包 包括了openssl、nginx和相关的配置文件) 2、下载 openssl.cnf文件- 修改commonName、commonName_default、[alt_...
OpenSSL证书管理
09-13
在本文档中,我们将深入探讨如何使用OpenSSL制作和管理证书,这些证书在数字证书认证和Java安全环境中至关重要。首先,我们来看构建根证书的过程: 1. **生成根证书私钥**: 使用`openssl genrsa`命令创建一个...
https解决方案-利用keytool生成证书
红尘浪子的专栏
02-03 2458
利用jdk生成https证书,springboot集成https
Keytool签名证书
weixin_34000916的博客
08-11 214
2019独角兽企业重金招聘Python工程师标准>>> ...
网络--keytool签名SSL证书(免费)以及私钥签名、公钥验签
JustinQin
08-24 2万+
本文主要介绍keytool签名SSL证书(免费)以及私钥签名、公钥验签流程,点击查看keytool CA签名SSL证书(收费) 最近给银行做一个系统,虽说是给行内使用的,但是系统要同时支持内外网方式登录,采用https(http+ssl)传输协议,经过SSL加密信息,防止用户信息被截获。 因此花了一段时间研究这方面的知识,主要从JDK自带keytool入手,研究如何通过keytool最终得到...
【SSL】使用Keytool工具生成证书签名完整步骤
热门推荐
sayyy的专栏
10-26 3万+
使用Keytool工具生成证书签名完整步骤 创建证书(keystore)及证书(Certificate) 生成证书签名请求(CSR) 将已签名证书导入证书 下面以为”www.mydomain.com“域名制作数字证书为例进行操作。 创建证书(keystore)及证书(Certificate) 命令如下: keytool -genkeypair / -...
利用java自带的keytool生成自签名证书
briskemen的博客
12-04 5567
最近在对接一家支付的时候,需要将支付业务逻辑放到服务器上进行,为了安全起见,使用https安全协议,这可把我给整得够惨的。网上各种查阅博客,都没能搞掂。最后没办法了,只能是自己来了,创建自定义安全证书。 参考博客 ->首先我们需要利用java自带的keytool工具生成我们的证书文件。 配置java环境在这里省略。 **我在我电脑E盘新建了一个叫demo的文件夹,然后在里面shift+右键打
安全网络通信(一)---利用keytool工具生成自签名证书
wkend的博客
04-08 2101
加密通信 基本原理 数据从一段发送到另一端时,发送者首先对数据进行加密,然后再把它发送给接受者。这样,在网络上进行传输的就是经过加密的数据。 由于有人在网络上截获到了这段数据,由于ta没有秘钥,所以ta无法获知数据内容。 接受者接受到加密是数据后,先对数据进行解密,然后再进行处理。 SSL,TSL采用加密技术来实现安全通信,保证通信数据的机密性和完整性,并且保证通信双方可以验证对...
OpenSSLkeytool 的区别
LawssssCat的博客
03-14 3842
(科普向,大神笑笑就好) 学习生成证书的过程,我们会用到 连个工具:opensslkeytool 进一步了解,我们会知道,这两个工具,单独也可以生成证书。 那他们生成的证书区别是什么? 数字证书管理工具opensslkeytool的区别 一句话:keytool没办法签发证书,而openssl能够进行签发和证书链的管理 因此,keytool 签发的所谓证书只是一种 自签名证书签名证书 所...
利用keytoolopenssl生成证书文件
weixin_30539835的博客
08-16 240
转载请标明出处:http://blog.csdn.net/shensky711/article/details/52225073 本文出自: 【HansChen的博客】 用openssl指令逐步生成各个文件 生成服务器密钥:openssl genrsa -out server_private.key 2048 从密钥生成公钥(非必须):openssl rsa...
openssl创建自签名证书
04-22
好的,我了解,您的问题是如何使用openssl创建自签名证书。您可以按照以下步骤操作: 1. 生成私钥:运行以下命令生成一个私钥文件: openssl genrsa -out private_key.pem 4096 这将生成一个4096位的RSA私钥文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值