使用 KeyStore Explorer (一个 keytool 的 GUI 工具) 签发带 SAN 的二级证书并导出为 p12 格式在 SpringBoot 中使用

已于 2022-06-02 17:16:52 修改
阅读量6.6k 收藏 26
点赞数 5
文章标签: spring boot https java ssl ca证书
于 2021-12-12 18:26:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/halozhy/article/details/121888033
版权

目录

场景:

  • 需要生成一个 CA 根证书并以此签发二级证书,二级证书将作为服务端证书
  • 服务端证书需要附加 SAN (Subject Alternative Name) (使用者可选名称) 信息,示例如下
    在这里插入图片描述
  • 最终需要导出为 p12 格式的文件给 SpringBoot 使用

本文仅为个人思路备份,部分表述和教程不专业,见谅
另外,操作系统为 Windows 10

方案:

1. 下载安装

下载 KeyStore Explorer (一个 keytool 的 GUI 工具),其 GitHub 和官网地址如下

https://github.com/kaikramer/keystore-explorer
https://keystore-explorer.org/

个人建议去 GitHub 上下载 zip 包,虽然略微大一些,但可以免安装,解压即用

另外,以下内容均在 5.5.0 版本下截图演示

2. 新建 KeyStore

点击 create a new KeyStore
在这里插入图片描述
格式默认选择 pkcs #12 就行
在这里插入图片描述
新建之后 Ctrl + S 保存一下,此时需要填写密码,这里自己随意设置(但要能记得住),此处演示均使用 123456
在这里插入图片描述
保险起见,保存的时候 Files of Type 下拉框也选择 p12 那个,另外 File Name 需要自己加上 .p12 的后缀名(反正我这个版本不会自动加后缀)
在这里插入图片描述

3. 创建根证书

首先需要创建一个密钥对 (Key Pair),空白处右键第一个就是了
在这里插入图片描述
此处可选算法,一般 RSA 2048 就行
在这里插入图片描述
之后有几处需要注意,一个是有效期 Validity Period ,根据自己的需要填;再个就是 Name 最右边的
按钮,这个一定要点进去填;最后是 Add Extensions 按钮,这个目前可以先不填,但是生成二级证书添加 SAN 信息的时候就需要用到了

在这里插入图片描述
点击上图 Name 最右边的按钮之后,就是这个窗口,这些都需要填,按自己的需求填写就好,此处我均填写为 ca
在这里插入图片描述
然后填写别名
在这里插入图片描述
最后,这里是个坑,此处密钥对的密码可以设为和之前 KeyStore 不一样的,但是会影响到后面 SpringBoot 中的配置,如果只是个人学习使用,避免麻烦,那就设为和 KeyStore 一致的。
演示中密码均为 123456
在这里插入图片描述
然后就得到了一个 CA 根证书的密钥对
在这里插入图片描述
莫得结束,此时只得到了密钥对,并不是证书,右键刚刚生成的密钥对,Export -> Export Certificate Chain
在这里插入图片描述
之后选择格式和保存位置,格式一般默认就行,保存位置自己选
在这里插入图片描述
目前得到的文件如下
在这里插入图片描述

4. 创建并签发二级证书

如果是用过命令行工具的朋友应该知道签发二级证书的过程应该是 生成 key pair -> 生成 csr 请求 -> 签发并生成 cer 证书

不过 KeyStore Explorer 工具提供了一个便捷的方式,直接在 ca 密钥对上右键 -> Sign -> Sign New Key Pair 即可从生成密钥对到签发一气呵成
在这里插入图片描述
之后需要输入这个密钥对的密码,和之前设置的一致就行
在这里插入图片描述
再之后的过程和上面创建新密钥对的过程差不多,但此时为了给 server 证书添加 SAN 附加信息,就需要用到 Add Extensions 按钮了
在这里插入图片描述
点进来是这样的,选择使用标准模板
在这里插入图片描述
模板选择 SSL Server
在这里插入图片描述
然后会自动生成很多附加信息,选择 要修改的 Subject Alternative Name ,点击右边的修改按钮
在这里插入图片描述
此处就可以修改增删改 SAN 信息了
在这里插入图片描述
增改的窗口如下,常用的是 DNS 和 IP 两种,下方直接填写值即可
在这里插入图片描述
演示中最终填写的 SAN 值如下
在这里插入图片描述
最后最后,别忘了点那个像书一样的按钮,填写 Name 部分,否则一定会报错无法继续的
在这里插入图片描述
之后也会填写密码,为了方便可填为和 KeyStore 一致的,此处就不贴图了

现在得到了两个密钥对,server 就是带有 SAN 信息的服务端密钥对了,别忘了 Ctrl + S 保存一下
在这里插入图片描述
此时,我们可以像导出 ca 根证书那样导出这个 server 证书,但在 SpringBoot 中使用的话,并不需要这一步,直接把这份 test.p12 交给 SpringBoot 就好。

5. 在 SpringBoot 中使用

把这份 test.p12 放在 resources 目录下,然后在配置文件 application.properties 中这样写

#https端口号
server.port=443
#密钥库路径
server.ssl.key-store=classpath:test.p12
#密钥库密码
server.ssl.key-store-password=123456
#密钥库类型
server.ssl.keyStoreType=PKCS12
#使用的证书(密钥对)别名
server.ssl.keyAlias=server

如果之前创建密钥对的时候,没有把 密钥对的密码 填成和 密钥库密码 一致的,那就需要加一行

#密钥对密码
server.ssl.key-password=<要使用的密钥对的密码>

最后配成这样子,SpringBoot能够启动成功,应该就可以了
在这里插入图片描述
当然,此时直接访问 localhost ,肯定会报 SSL 错误,这是因为 server 的上级证书不被我们的浏览器信任。所以我们可以把之前导出的 ca.cer 安装到 受信任的根证书颁发机构(这个位置不能选错,否则系统不会认为这是根证书)

在这里插入图片描述
之后打开浏览器,访问 localhost
在这里插入图片描述
这个 SSL 的 demo 就传到 gitee 上面吧

https://gitee.com/halozhy/ssl_demo

后记

  1. 为什么不用 keytool 命令行工具?
    之前笔者也试过用 keytool,在参照了大量博客的情况下,也成功了。但是 keytool 的命令行环境经常需要写一堆参数,用起来的体验也不是特别好,于是在了解到 KeyStore Explorer 的存在后,我立刻被它圈粉了。不过不知道是不是笔记本设置了全局缩放的原因,这个工具的在我的电脑开着中文输入法的时候会不时抽风,但相比于敲一堆又臭又长的命令,我可能更喜欢这个 GUI 界面。

  2. p12 和 cer 的区别?
    仅个人见解,不一定准确
    p12 是一个包含了公私钥对的文件,而 cer 只包含了公钥证书

  3. 2021年,证书里面的 SAN 信息有多重要?
    2022-06-02 补充:其实把证书的 CN (Common Name) 字段填写正确应该也能避免 NET::ERR_CERT_COMMON_NAME_INVALID 这个问题,具体请参考 https://www.cnblogs.com/iiiiher/p/8085698.html 中的 “浏览器如何验证证书” 部分
    如果使用了上面的 demo,不妨试试把配置文件中的证书别名改成 ca (server.ssl.keyAlias=ca),即使是 ca.cer 那个根证书已经加入系统根证书域的情况下,使用 Edge 96.0.1054.43 (当然,Chromium 内核的) 访问 localhost,依然会报 NET::ERR_CERT_COMMON_NAME_INVALID
    在这里插入图片描述
    这和 ca 证书不受信任的 NET::ERR_CERT_AUTHORITY_INVALID 报错是不同的。说明即使证书受信任,但如果 SAN 信息对不上的话,依然会报错。可见目前证书中 SAN 信息的重要性

halozhy
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HTTPS之密钥知识与密钥工具KeytoolKeystore-Explorer
词语大杂烩
04-27 611
1 简介 之前文章《Springboot整合https原来这么简单》讲解过一些基础的密码学知识和Springboot整合HTTPS。本文将更深入讲解密钥知识和密钥工具。 2 密钥知识-非对称加密 这部分知识非常重要,理解了关键的密钥知识,才能更好地在工作使用。需要注意的是,讲的主要是非对称加密的知识,对称加密比较好理解,就不讲述了。 (1)对于非对称加密,密钥分为私钥(private key)...
运用Keystore Explorer生成CA, ServerCert, ClientCert
MyEDI
09-12 1894
运用Keystore Explorer生成CA, Server-Cert, Client-Cert 关于Keystore Explorer 官方网站:Keystore Explorer Official Website Keystore Explorer是款Java开发的桌面应用程序,用于读、写、改Java keystore文件。 它可以: 创建新的CA(Certificate Authority)证书 基于自己的CA证书认证并创建服务器端(Server SSL)或者是客户端证书(Client SSL)
keystore-explorer:KeyStore ExplorerJava命令行实用程序keytool和jarsigner的免费GUI替代品
04-12
密钥库资源管理器 KeyStore ExplorerJava命令行实用程序keytool和jarsigner的免费GUI替代品。 官方网站: : 特征: 在各种KeyStore类型之间创建,加载,保存和转换:JKS,JCEKS,PKCS#12,BKS(V1和V2)和UBER 更改密钥库和密钥库条目密码 删除或重命名KeyStore条目 剪切/复制/粘贴KeyStore条目 将证书附加到密钥对证书链 生成具有自签名X.509证书的RSA,ECC和DSA密钥对 将X.509证书扩展名应用于生成的密钥对和证书签名请求(CSR) 查看X.509证书,CRL和CRL条目X.509 V3扩展 以多种格式导入和导出密钥和证书:PKCS#12,PKCS#8,PKCS#7,DER / PEM X.509证书文件,Microsoft PVK,SPC,PKI路径,OpenSSL 生成,查看和签名
介绍KeyTool GUI工具2款
weixin_34307464的博客
05-27 206
2019独角兽企业重金招聘Python工程师标准>>> ...
CA证书_ca 证书 ca 私钥,2024年最新2024年网络安全程序员职业规划
最新发布
2301_76328475的博客
04-17 5752
同时子CA1的证书也会由服务商部署在对应客户端(qian、zhao)上,这样客户端可以用ROOTCA公钥解密【S根CA(PCA1)】,拿到CA1的公钥【PCA1】。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。当zhao要和sun通讯时,两者分属不同的CACA1和CA2同归ROOTCA管辖,子CA有ROOTCA颁发的证书,子CA的权威性由根CA证明,所以彼此互换证书可互信。客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容。
Java加解密(九)工具
yunyun1886358的专栏
03-12 912
KeyStoreExplorerJava命令行程序keytool和jarsigner的开源GUI替代工具keytool 是JDK 提供的证书相关操作的命令行工具,只要安装JDK 并且配置好相应的环境变量或者切换工作目录至keytool工具目录下,就可以在命令窗口运行。OpenSSL一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。是作为证书和密钥存储,以及作为签发证书的签名应用程序,是一个开源的工具,底层还是基于openssl的类库和API的。
keytool_gui
03-21
java keytool gui
keystore文件_HTTPS之密钥知识与密钥工具KeytoolKeystore-Explorer
weixin_39698217的博客
12-03 450
1 简介之前文章《Springboot整合https原来这么简单》讲解过一些基础的密码学知识和Springboot整合HTTPS。本文将更深入讲解密钥知识和密钥工具。2 密钥知识-非对称加密这部分知识非常重要,理解了关键的密钥知识,才能更好地在工作使用。需要注意的是,讲的主要是非对称加密的知识,对称加密比较好理解,就不讲述了。(1)对于非对称加密,密钥分私钥(private key)为公钥(p...
KeyStore Explorer
04-02
KeyStore 查看工具,外网也可下载,速度较慢,特意上传一下,供下载。 地址:http://keystore-explorer.org/downloads.html
CA证书签发系统(web版)
被世界遗弃的江的博客
02-06 1686
一个pki证书申请,审核和证书下载安装的管理系统软件,通过调用java工具,将信息存入数据库,同时也是一个学习ssh框架的好demo,系统采用Java的加密算法实现CA证书签发和发布,采用mvc模式实现证书下载,安装和统一管理。系统采用java秘钥工具生成CA证书,通过WEB形式展现出来,管理员审核生成证书,普通用户提交证书信息。采用idea编译环境,采用maven结构项目,可配置系统环境,方便查询,优化代码。详细代码:https://github.com/twjitm/pki-new。
KeyTool.GUI.1.6 证书密钥查看生成工具
09-01
KeyTool IUI v1.5
08-31
用于生成,转换,查看JAVA SSL证书GUI工具。 **** REQUIREMENTS **** 1) KeyTool IUI: . Java Runtime 1.5, or higher 2) KeyTool IUI Plus: . Java Runtime 1.5, or higher . Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 5.0 (http://java.sun.com/javase/downloads/index.jsp)
jdk密钥和证书管理工具keytool常用命令详解
09-04
默认情况下,它会在用户的主目录创建一个名为`.keystore`的文件,并为这个密钥对创建一个别名,例如"mykey"。你可以通过`-alias`指定别名,`-keystore`指定密钥库文件名,`-keyalg`选择密钥算法(如RSA、DSA),`-...
Android使用KeyStore对数据进行加密的示例代码
08-31
在Android应用程序,通常的做法是在应用首次安装并运行时生成一个随机密钥,并将其存入KeyStore。这个密钥可以用于后续的数据加密。当需要加密数据时,从KeyStore取出密钥,使用例如AES(高级加密标准)这样的...
JKS 密钥库使用专用格式。建议使用keytool -importkeystore -srckeystore E:\xxxxxx- pkcs12” 迁移到行业标准格式PKCS12
01-07
建议使用keytool -importkeystore -srckeystore E:\androidstudio\androidstudio_work\CommonDemo\app\fast_keystore.jks -destkeystore E:\androidstudio\androidstudio_work\CommonDemo\app\fast_keystore.jks ...
kse-543.dmg keystore-explorer: 5.4.3
03-18
KeyStore ExplorerJava命令行实用程序keytool和jarsigner的开源GUI替代。 KeyStore Explorer通过直观的图形用户界面展示其功能以及更多功能。 安全Java的简化开发软件开发人员应该能够专注于眼前的问题,而不必为...
使用keytool制作自签名证书以及tomcat配置双向认证
chaobataozou77的博客
03-31 491
使用keytool制作自签名证书以及tomcat配置双向认证一、rsa算法、公钥、私钥、数字签名二、证书格式三、根证书直接导入到服务器的密钥存储库四、支持二级证书以及动态签发证书 一、rsa算法、公钥、私钥、数字签名 rsa算法:rsa算法是ISO推荐的公钥数据加密的标准 公钥:加密客户端数据 私钥:解密客户端数据 数字签名:利用私钥进行数据加密就是数字签名的用处 二、证书格式 格式 作用 .cer .der 二进制格式,只保存证书,不保存私钥 .crt 可以是二进制格式也可以是文本
keytool 用法总结
Free Coding
01-04 1739
内容概览: keytool的几个常用的命令。 1.创建证书 2.查看证书库 3.导出证书文件 4.导入证书的信息 5.查看证书信息 6.删除密钥库的条目 7.修改证书条目的口令 -------------------------------------------------------------------------------------- 预备知识: keyto...
如何使用keytool重置keystore密码
05-25
使用 keytool 重置 keystore 密码,可以按照以下步骤操作: 1. 打开命令提示符或终端窗口,并导航到包含 keystore 文件的目录。 2. 运行以下命令来重置 keystore 密码: ``` keytool -storepasswd -keystore [keystore文件名] ``` 在提示输入旧密码时,输入当前的 keystore 密码。然后按回车键。 3. 接下来,按照提示输入新的 keystore 密码,并再次确认新密码。然后按回车键。 4. 如果操作成功,命令行会显示“新密码已存储”。 5. 最后,可以使用以下命令来验证 keystore 是否已成功更新: ``` keytool -list -keystore [keystore文件名] ``` 然后输入新的 keystore 密码来查看 keystore 的条目。 请注意,如果您忘记了 keystore 的当前密码,那么无法使用 keytool 重置密码。在这种情况下,您需要创建一个新的 keystore

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值