Tomcat 如何生成SSL安全证书（拜读、学习、记录） and 如何用OpenSSl生成服务端证书 other 简述cer和crt后缀的证书的区别

用Tomcat来配置SSL证书主要有下面这么两大步骤：

1. 生成证书 （首先我们要用KEYTOOL生成证书）
Java 中的 keytool.exe （位于 JDK\Bin 目录下）可以用来创建数字证书，所有的数字证书是以一条一条(采用别名区别)的形式存入证书库（.keystore）的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。

证书库中的一条证书可以导出数字证书文件，数字证书文件只包括 主体信息 和 对应的公钥。
在命令行下执行：%Java_home%\bin\keytool -genkey -alias tomcat -keyalg RSA。

此处把RSA运算法则作为主要安全运算法则，这保证了与其它服务器和组件的兼容性。 

echo %JAVA_HOME%
C:\Program Files\Java\jdk1.8.0_91
这个命令会在用户的home directory产生一个叫做” .keystore ” 的新文件。在执行后，你首先被要求出示keystore密码。你会被要求出示关于这个认证书的一般性信息，如公司，联系人名称，等等。这些信息会显示给那些试图访问你程序里安全网页的用户，以确保这里提供的信息与他们期望的相对应。你会被要求出示密钥(key)密码，也就是这个证书所特有的密码(与其它的储存在同一个keystore文件里的认证书不同)。你必须在这里使用与keystore相同的密码。Tomcat使用的默认密码是” changeit “(全都是小写字母)，如果你愿意，你可以指定你自己的密码。（回车=密钥口令）你还需要在server.xml配置文件里指定自己的密码，这在以后会有描述。

eg:为服务器生成证书
“运行”控制台，进入%JAVA_HOME%/bin目录，使用如下命令进入目录：
cd “c:\Program Files\Java\jdk1.6.0_11\bin” 
使用keytool为Tomcat生成证书，假定目标机器的域名是“localhost”，keystore文件存放在“D:\home\tomcat.keystore”，口令为“password”，使用如下命令生成：
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (参数简要说明：“D:\home\tomcat.keystore”含义是将证书文件的保存路径，证书文件名称是tomcat.keystore ；“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天 “tomcat”为自定义证书名称)。

在命令行填写必要参数：
A、 输入keystore密码：此处需要输入大于6个字符的字符串。
B、 “您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。
C、 你的组织单位名称是什么？”、“您的组织名称是什么？”、“您所在城市或区域名称是什么？”、“您所在的州或者省份名称是什么？”、“该单位的两字母国家代码是什么？”可以按照需要填写也可以不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息。

  这里我密码设置的为123456；
D、 输入<tomcat>的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以，完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件。

这里我密码设置的为changeit;这个是Tomcat默认的密码；

eg:为客户端生成证书
为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 （mykey为自定义别名字）。

此处如果不指定有效时间，默认有效时间是90天
对应的证书库存放在“D:\home\mykey.p12”，客户端的CN可以是任意值。双击mykey.p12文件，即可将证书导入至浏览器（客户端）。

这里直接点击下一步，直到下面为私钥键入密码，这里我设置的是123456；

然后继续下一步直至：

 

 

让服务器信任客户端证书
由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：
keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer 
(mykey为自定义与客户端定义的mykey要一致，password是你设置的密码)。通过以上命令，客户端证书就被我们导出到“D:\home\mykey.cer”文件了。

下一步，是将该文件导入到服务器的证书库，添加为一个信任证书使用命令如下：
     keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

 

通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：
keytool -list -keystore D:\home\tomcat.keystore (tomcat为你设置服务器端的证书名)。

 

让客户端信任服务器证书
由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，使用如下命令：
keytool -keystore D:\home\tomcat.keystore -export -alias mykey-file D:\home\tomcat.cer (tomcat为你设置服务器端的证书名)。
通过以上命令，服务器证书就被我们导出到“D:\home\tomcat.cer”文件了。双击tomcat.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

 

点击安装证书一直下一步直至导入成功

 

 

配置Tomcat服务器
打开Tomcat根目录下的/conf/server.xml，找到Connector port="8443"配置段，修改为如下：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https"
secure="true" clientAuth="true" sslProtocol="TLS"
keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"
truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />
（tomcat要与生成的服务端证书名一致）
属性说明：
clientAuth:设置是否双向验证，默认为false，设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书
truststorePass:根证书密码

这里我用的是之前生成的SSL协议，所以路径上有些不同，上述生成的证书存储在home目录下，这里只需要将SLL更换成home即可。

需要注意的是

该目录下的mykey.p12文件也需要进行安装；安装步骤与上面的相同，一直下一步就好。

在自己的项目中进行https访问，会出现下列证书

点击确定后

选择高级选项，点击继续访问

此时会进入你的网站

但在https上会有一个斜线。这是因为证书是由我们自己编写的，并没有得到官方SSL的授权，所以在浏览器上进行访问的浏览器内的安全证书并不能确认我们所写的证书为安全证书。

点击锁图标会显示

官方颁布的SSL证书需要收费。这里只是演示一下如何构建一个证书完成一个SSL安全协议的HTTPS访问，这里HTTPS被划掉后默认的还是通过https进行的访问
--------------------- 
版权声明：本文为CSDN博主「陈陈陈骄傲」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_41581158/article/details/80916467

 

openssl生成证书

 

1. 1024bitkey

openssl genrsa -idea -out test.key 1024

2. 生成csr文件

openssl req -new -key test.key -out test.csr

3. 生成crt文件

openssl x509 -req -days 3650 -in test.csr -signkey test.key -out test.crt

4.  查看

openssl x509 -noout -text -in ./test.crt

 

other 2048

openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout test.key -out test_apple.crt

 

================私货====================

产生私钥
mkdir -p PRDCA/private/
openssl genrsa -des3 -out PRDCA/private/client_key.pem

生成请求文件
mkdir -p PRDCA/CSR
openssl req -new -key ./PRDCA/private/client_key.pem  -out PRDCA/CSR/client_req.csr

颁发证书
mkdir -p ./PRDCA/usercerts
openssl x509 -req -days 365 -in PRDCA/CSR/client_req.csr -signkey PRDCA/private/client_key.pem  -out PRDCA/usercerts/client.crt
openssl pkcs12 -export -inkey PRDCA/private/client_key.pem  -in PRDCA/usercerts/client.crt  -out client.pfx

--------------------------------------------------------------
产生私钥
openssl genrsa -des3 -out PRDCA/private/server_key.pem 2048

生成请求文件
openssl req -new -key ./PRDCA/private/server_key.pem -out PRDCA/CSR/server_req.csr

颁发证书
openssl x509 -req -days 365 -in PRDCA/CSR/server_req.csr -signkey PRDCA/private/server_key.pem  -out PRDCA/usercerts/server.crt

 

cer和crt的区别

.CRT = 扩展名CRT用于证书。证书可以是DER编码，也可以是PEM编码。扩展名CER和CRT几乎是同义词。这种情况在各种unix/linux系统中很常见。

CER = CRT证书的微软型式。可以用微软的工具把CRT文件转换为CER文件（CRT和CER必须是相同编码的，DER或者PEM）。扩展名为CER的文件可以被IE识别并作为命令调用微软的cryptoAPI（具体点就是rudll32.exe

扩展资料

Windows中的证书扩展名有好几种，比如.cer和.crt。通常而言，.cer文件是二进制数据，而.crt文件包含的是ASCII数据。

cer文件包含依据DER（Distinguished Encoding Rules）规则编码的证书数据，这是x.690标准中指定的编码格式。

X.509是一个最基本的公钥格式标准，里面规定了证书需要包含的各种信息。通常我们提到的证书，都是这个格式的，里面包含了公钥、发布者的数字签名、有效期等内容。要强调的是，它只里面是不包含私钥的。相关的格式有：DER、PEM、CER、CRT。

1.关于证书的不同之处：

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。 常用的有：

PKCS#7 Cryptographic Message Syntax Standard

PKCS#10 Certification Request Standard

PKCS#12 Personal Information Exchange Syntax Standard

X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。

PKCS#7 常用的后缀是： .P7B .P7C .SPC

PKCS#12 常用的后缀有： .P12 .PFX

X.509 DER 编码(ASCII)的后缀是： .DER .CER .CRT

X.509 PAM 编码(Base64)的后缀是： .PEM .CER .CRT

.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。

.pem跟crt/cer的区别是它以Ascii来表示。

pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式

p10是证书请求

p7r是CA对证书请求的回复，只用于导入

p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

2.修改证书：

公钥和私钥一般都是用PEM方式保存，但是公钥文件还不足以成为证书，还需要CA的签名
CSR是证书签名请求，CA用自己的私钥文件签名之后生成CRT文件就是完整的证书了
CER和CRT其实是一样的，只是一般Linux下面叫CRT多，Windows下面叫CER多。