SSL-用Keytool和OpenSSL生成和签发数字证书

最新推荐文章于 2024-03-19 15:40:42 发布
最新推荐文章于 2024-03-19 15:40:42 发布
阅读量3.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyy089074316/article/details/9266135
版权

J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool,用于管理密钥、证书和证书链。Keytool工具的命令在JavaSE6中已经改变,不过以前的命令仍然支持。Keytool也可以用来管理对称加密算法中的密钥。

最简单的命令是生成一个自签名的证书,并把它放到指定的keystore文件中:

keytool -genkey -alias tomcat -keyalg RSA -keystore c:/mykey

如果c:/mykey文件不存在,keytool会生成这个文件。按照命令的提示,回答一系列问题,就生成了数字证书。注意,公共名称(cn)应该是服务器的域名。这样keystore中就存在一个别名为tomcat的实体,它包括公钥、私钥和证书。这个证书是自签名的。<o:p></o:p>

Keytool工具可以从keystore中导出证书,但是不能导出私钥。对于配置apache这样的服务器,就不太方便。这种情况下就完全用OpenSSL吧,上一篇文章《SSL-用OpenSSL生成证书文件》中已经做了介绍。不过keytool对于J2EE AppServer是很有用的,它们就是用keystore存储证书链的。keystore的作用类似于windows存放证书的方式,不过跨平台了,^_^下面用Keytool生成CSR(Certificate Signing Request),并用OpenSSL生成CA签名的证书。

1.    准备
1)    在bin目录下新建目录 demoCA、demoCA/certs、demoCA/certs  、 demoCA/newcerts
2)    在demoCA建立一个空文件 index.txt
3)    在demoCA建立一个文本文件 serial, 没有扩展名,内容是一个合法的16进制数字,例如 0000
4)    配置环境变量PATH,加入%JAVA_HOME%/bin,本文用的JavaSDK1.6

2.    生成CA的自签名证书
openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

3.    生成server端证书
1)    生成KeyPair生成密钥对
 keytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456  -storepass 123456 -keystore server_keystore
  输入common name时,要和服务器的域名保持一致。
2)    生成证书签名请求
keytool -certreq -alias tomcat_server -sigalg MD5withRSA -file tomcat_server.csr -keypass 123456 -storepass 123456 -keystore server_keystore 
3)    用CA私钥进行签名,也可以到权威机构申请CA签名。
   openssl ca -in tomcat_server.csr -out tomcat_server.crt -cert ca.crt -keyfile ca.key -notext -config openssl.cnf
  其中-notext表示不要把证书文件的明文内容输出到文件中去,否则在后面用keytool导入到keystore时会出错。
4)    导入信任的CA根证书到keystore
   keytool -import -v -trustcacerts  -alias my_ca_root -file ca.crt -storepass 123456 -keystore server_keystore
5)    把CA签名后的server端证书导入keystore
keytool -import -v -alias tomcat_server -file tomcat_server.crt -storepass 123456 -keystore server_keystore
6)    查看server端证书
   keytool -list -v -keystore server_keystore  
 可以看到tomcat_server的证书链长度是2
 
4.    生成client端证书
1)    生成客户端CSR
   openssl genrsa -des3 -out tomcat_client.key 1024
openssl req -new -key tomcat_client.key -out tomcat_client.csr -config openssl.cnf
2)    用CA私钥进行签名,也可以到权威机构申请CA签名
openssl ca -in tomcat_client.csr -out tomcat_client.crt -cert ca.crt -keyfile ca.key -notext -config openssl.cnf
3)    生成PKCS12格式证书
openssl pkcs12 -export -inkey tomcat_client.key -in tomcat_client.crt -out  tomcat_client.p12
4)    使用Keytool列出pkcs12证书的内容:
   keytool -rfc -list -keystore tomcat_client.p12 -storetype pkcs12
flycode310
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用keytoolopenssl工具生成SSL双向认证密钥对和证书库
MEdwardM的专栏
05-16 1404
一、引言 由于需要开发一个支持https双向认证的服务,开发期间需要自己生产ssl双向认证证书,服务是基于springboot的开发的,所以进行了一段时间的技术调研,以下是操作生成操作步骤 二、操作1、keystore以及服务器密钥对的生成keytool -genkeypair -alias server -keyalg RSA -validity 365 -keystore server.j
let‘s encrypt:基于阿里云的certbot生成免费HTTPS证书
最新发布
m0_60125201的博客
04-15 1421
本博客利用let's encrypt申请更新了阿里云域名证书,使用的是let's encrypt推荐的certbot将域名从http更新到了https。
KeytoolOpenSSL生成签发数字证书
Java开发与学习
06-22 159
一)keytool生成私钥文件(.key)和签名请求文件(.csr),openssl签发数字证书      J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool,用于管理密钥、证书和证书链。Keytool工具的命令在JavaSE6中已经改变,不过以前的命令仍然支持。Keytool也可以用来管理对称加密算法中的密钥。最简单的命令是生成一个自签名的证书,并把它放到指定的ke...
linux7源码包httpd安装,Centos7 源码安装 Apache
weixin_39754398的博客
05-12 84
第一部分:前期准备 需要下载的东西下载 Apache 源码包 下载地址: http://httpd.apache.org/download.cgi 我下载的 httpd-2.4.20.tar.gz下载 Apr 下载地址 :http://archive.apache.org/dist/apr/ap...
OpenSSL生成ssl证书
01-11
3. **生成证书签名请求(CSR)**:接着,基于刚才生成的私钥创建一个证书签名请求,这将包含服务器的相关信息。命令如下: ``` openssl req -new -key private.key -out CSR.csr ``` 在交互式提示中,输入服务器的...
使用openssl 生成免费证书的方法步骤
09-14
总的来说,openssl通过非对称加密、数字签名和数字证书等技术,为互联网通信提供了安全保障,防止数据在传输过程中被窃取或篡改。对于开发者来说,了解并熟练使用openssl是构建安全网络服务的基础。在本文中,我们只...
jetty-5.1.10加openssl自制证书.zip
07-18
在Jetty中配置SSL,我们通常需要使用OpenSSL生成自签名的证书。 以下是使用OpenSSL自制SSL证书的步骤: 1. 安装OpenSSL:首先确保你的系统中已经安装了OpenSSL。如果未安装,可以通过相应的软件包管理器(如...
OpenSSL and Keytool
04-11
这两个工具在实际工作中经常配合使用,例如,OpenSSL可以用来生成证书和私钥,然后通过Keytool导入到Java应用的KeyStore中。`openss简介.doc`可能包含了OpenSSL的详细使用方法和常见操作步骤,而`ca_sign.txt`可能是...
SSL证书安装.zip
10-25
- **导入证书**:将SSL证书转换为PKCS12格式,然后使用Java的`keytool`导入到Keystore中。 - **编辑server.xml**:在`Connector`元素中配置SSL,指定Keystore路径、密码和端口。 - **重启Tomcat**:修改后,重启...
本地ssl证书生成工具
03-19
本地ssl证书生成工具
mkcert证书创建自签名工具SSL证书链CA根证书颁发
05-05
可省去choco下载安装的步骤,直接使用mkcert创建和签名证书,通过mkcert -install命令创建ca根证书,傻瓜式零配置签发证书
私有CA搭建并将HTTPS应用于Tomcat、Springboot
u013256012的博客
12-17 3502
目录 1 CA概念 2 HTTPS过程 3 环境说明 4 搭建私有CA 4.1 环境准备 4.2 搭建CA中心 4.3 操作错误从新来过 5 浏览器证书配置 6 创建服务器证书 6.1 环境准备 6.2 创建服务器证书 6.2 配置证书 7 将CA证书导入JDK 8 创建Tomcat服务器证书 9 Tomcat的HTTPS配置 9.1 单向认证 9.2 双向认证 ...
自签ssl 证书工具-mkcert
DTCloud
06-14 837
随着SSL的越来越普及,目前大部分生产环境都已经使用SSLSSL证书一般有如下方法获取:SSL服务商购买、免费SSL服务商通过HTTP验证/API验证、自签SSL证书。能不花钱的咱尽量不花,但是免费的SSL证书需要HTTP验证,在本地或者局域网内这个显然时无法进行,当然API方式是一个不错的方法,生成SSL证书既是信任的还免费,但是不适应于所有情况。生成SSL证书,在当前mkcert文件所在的目录下,一个命令生成的这些域名或IP是在一张SSL证书里面。参数更改为你要生成SSL证书的域名或IP。
一款免费的 SSL 工具 Certify The Web
热门推荐
菜鸟厚非
08-21 1万+
Certify The Web 适用于 Windows的SSL 证书管理器用户界面,与所有 ACME v2 CA 兼容,为您的 IIS/Windows 服务器轻松地安装和自动更新来自 Letencrypt.org 和其他 ACME 证书授权机构的免费 SSL/TLS 证书,设置 https 从未如此简单。
生成可信任的SSL证书
雪急飞绪博客
03-19 1312
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书。SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
openssl证书链的校验过程
知识需要积累。
02-06 8691
 X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下: int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,     STACK_OF(X509) *chain) 
Debian10 上实现dns-CA+apache服务
cx的博客
03-25 1931
网络系统管理技能大赛 Debian 证书服务器
使用Keytool 工具生成CSROpenSSL工具生成CSR区别
02-07
Keytool是Java开发工具包中的一种命令行工具,用于...在生成CSR时,两者的主要区别在于使用的证书存储库不同,Keytool使用JKS格式的证书存储库,而OpenSSL使用PEM格式的证书存储库。此外,在命令行和参数上也有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值