利用openssl创建一个简单的ca+在glassfishV2中使用ssl

最新推荐文章于 2021-08-05 16:05:27 发布
最新推荐文章于 2021-08-05 16:05:27 发布
阅读量282 收藏 1
点赞数
分类专栏: web容器-glassfish 文章标签: Glassfish F#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_7451/article/details/82007017
版权

一、创建CA需要用到的目录和文件
执行命令如下:
mkdir "$HOME/testca"
cd "$HOME/testca"
mkdir newcerts private conf
chmod g-rwx,o-rwx private
echo "01" > serial
touch index.txt
说明:
/testca为待建CA的主目录。
其中newcerts子目录将存放CA签署(颁发)过的数字证书(证书备份目录)。
而private目录用于存放CA的私钥。
目录conf只是用于存放一些简化参数用的配置文件。
文件serial和index.txt分别用于存放下一个证书的序列号和证书信息数据库。
当然,偷懒起见,可以只用按照本文操作即可,不一定需要关心各个目录和文件的作用。

二、生成CA的私钥和自签名证书(即根证书)
创建文件:
vi "$HOME/testca/conf/gentestca.conf"
文件内容如下:
{
####################################
[ req ]
default_keyfile = $ENV::HOME/testca/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = ca_distinguished_name
x509_extensions = ca_extensions

[ ca_distinguished_name ]
organizationName = TestOrg
organizationalUnitName = TestDepartment
commonName = TestCA
emailAddress = ca_admin@testorg.com

[ ca_extensions ]
basicConstraints = CA:true
########################################
}
然后执行命令如下:
cd "$HOME/testca"
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 2190 -config "$HOME/testca/conf/gentestca.conf"
openssl x509 -in cacert.pem -text –noout
执行过程中需要输入CA私钥的保护密码,假设我们输入密码: 888888
可以用如下命令查看一下CA自己证书的内容
openssl x509 -in cacert.pem -text –noout

三、创建一个配置文件,以便后续CA日常操作中使用
vi "$HOME/testca/conf/testca.conf"
文件内容如下:
{
####################################
[ ca ]
default_ca = testca # The default ca section

[ testca ]
dir = $ENV::HOME/testca # top dir
database = $dir/index.txt # index file.
new_certs_dir = $dir/newcerts # new certs dir

certificate = $dir/cacert.pem # The CA cert
serial = $dir/serial # serial no file
private_key = $dir/private/cakey.pem # CA private key
RANDFILE = $dir/private/.rand # random number file

default_days = 365 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # message digest method to use
unique_subject = no # Set to 'no' to allow creation of
 # several ctificates with same subject.
policy = policy_any # default policy

[ policy_any ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

########################################
}

四、停止glassfish服务器
asadmin stop-domain

五、更改域 domain1 的主密码
asadmin change-master-password --savemasterpassword=true
输入66666666

六、删除glassfish 自带的证书
cd E:\Java\jdk1.5.0_12\bin
keytool -delete -alias s1as -keystore E:\glassfish\domains\domain1\config\keystore.jks -storepass 66666666

七、查看里面的证书是否还存在,如果空了说明删除成功
keytool -list -rfc -keystore E:\glassfish\domains\domain1\config\keystore.jks

八、为glassfish服务器生成新密钥对
keytool -genkey -keyalg rsa -keystore E:\glassfish\domains\domain1\config\keystore.jks -validity 365 -alias s1as
{
输入keystore密码:  66666666
您的名字与姓氏是什么?
  [Unknown]:  jlx.zju.edu.cn
您的组织单位名称是什么?
  [Unknown]:  zf
您的组织名称是什么?
  [Unknown]:  zfsoft
您所在的城市或区域名称是什么?
  [Unknown]:  hz
您所在的州或省份名称是什么?
  [Unknown]:  zj
该单位的两字母国家代码是什么
  [Unknown]:  cn
CN=jlx.zju.edu.cn, OU=zf, O=zfsoft, L=hz, ST=zj, C=cn 正确吗?
  [否]:  是

输入<s1as>的主密码
        (如果和 keystore 密码相同,按回车):
}

九、生成证书签名请求(CSR文件)
keytool -certreq -alias s1as -file E:\glassfish\domains\domain1\config\req\s1as.csr -keystore E:\glassfish\domains\domain1\config\keystore.jks -storepass 66666666

十、使用openssl签名证书
openssl ca -in $HOME/testca/newcerts/s1as.csr -out $HOME/testca/newcerts/s1as.crt -config "$HOME/testca/conf/testca.conf"

十一、查看已签好的证书
openssl x509 -in $HOME/testca/newcerts/s1as.crt -text -noout
{
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 1 (0x1)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: O=TestOrg, OU=TestDepartment, CN=TestCA/emailAddress=ca_admin@testorg.com
        Validity
            Not Before: Feb 15 02:51:36 2011 GMT
            Not After : Feb 15 02:51:36 2012 GMT
        Subject: C=cn, ST=zj, L=hz, O=zfsoft, OU=zf, CN=jlx.zju.edu.cn
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:a9:dd:bf:32:0a:59:49:00:a1:97:6d:f6:79:75:
                    b5:1c:14:26:be:72:d7:54:dd:05:cc:95:f5:cb:55:
                    b7:4b:a6:ba:96:f9:2b:b7:31:8c:2c:e4:1a:48:6d:
                    62:74:16:46:90:a5:1f:d0:d3:38:4c:4b:12:86:b4:
                    36:d0:5c:7a:9e:45:07:29:bc:9e:28:32:f6:16:b5:
                    61:03:27:03:5f:d9:13:b1:4f:21:4e:24:8d:93:92:
                    b2:bc:75:74:08:d2:8e:78:41:81:1a:c1:c3:e5:17:
                    df:ce:da:a6:ba:32:ec:33:77:7e:6b:86:c9:d3:63:
                    34:ca:0d:2b:25:6f:37:c5:75
                Exponent: 65537 (0x10001)
    Signature Algorithm: md5WithRSAEncryption
        8b:13:94:fa:09:7f:4a:51:1b:10:be:28:c7:45:f4:f5:ed:5f:
        98:2e:71:02:37:85:48:1b:f6:83:6b:94:9f:bc:8b:cb:91:39:
        df:f4:e8:b0:8a:b1:c6:f6:dd:45:47:15:c4:7c:ec:a5:0a:89:
        35:0f:b5:17:80:2c:57:80:83:28:7b:25:19:26:dc:b7:af:3f:
        70:72:41:14:e5:60:b5:9f:a9:e0:ab:c6:2a:5c:fe:8c:10:b0:
        a1:03:c1:6d:ef:67:5e:41:68:53:b8:40:5a:f0:17:44:bd:67:
        54:07:58:aa:34:d8:08:74:ae:1e:86:d8:9b:e8:86:02:fc:1f:
        d9:03:39:57:e4:78:38:28:ed:90:2e:2c:35:64:24:0d:43:a2:
        08:ff:92:33:7c:92:b7:93:00:e3:7d:b9:1d:8f:f5:7b:95:fe:
        a3:03:34:28:89:e2:a9:60:e4:72:7a:03:f1:b0:8a:8a:cb:70:
        db:e1:0e:dd:d4:9d:6d:50:3c:fb:0f:68:86:c2:dc:18:74:d1:
        7b:ed:c4:ac:04:d7:17:0e:0d:7b:6f:f1:62:21:56:d8:5b:a7:
        5d:da:69:ec:95:1b:6c:3a:ba:45:50:a2:ca:9f:ce:f7:f7:ff:
        fb:ef:a2:5b:fa:3f:de:4a:25:bc:bb:53:a2:99:ea:ff:b3:d6:
        a6:2f:d9:0b
}

十二、将s1as.crt文件中的如下内容拷贝到新文件s1as.jsk中
{
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
}

十三、导入证书到glassfish
keytool -import -file E:\glassfish\domains\domain1\config\cazs\s1as.jsk -alias slas -keystore E:\glassfish\domains\domain1\config\keystore.jks -storepass 66666666

十四、查看glassfish中的证书
keytool -list -rfc -keystore E:\glassfish\domains\domain1\config\keystore.jks -storepass 66666666

iteye_7451
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
krypto:krypto是一个openssl SSLTLS现代C ++包装器
04-03
rypto krypto是一个openssl SSL / TLS现代C ++包装器 免责声明 通用加密库不包括在内 不支持Linux以外的其他平台 执照 加密许可证基于MIT许可证。 有关更多详细信息,请参阅LICENSE文件。
Linux权限详解(chmod、600、644、700、711、755、777、4755、6755、7755)
热门推荐
wlin的博客
06-22 61万+
权限简介 Linux系统上对文件的权限有着严格的控制,用于如果相对某个文件执行某种操作,必须具有对应的权限方可执行成功。 Linux下文件的权限类型一般包括读,写,执行。对应字母为 r、w、x。 Linux下权限的粒度有 拥有者 、群组 、其它组 三种。每个文件都可以针对三个粒度,设置不同的rwx(读写执行)权限。通常情况下,一个文件只能归属于一个用户和组, 如果其它的用户想有这个文件的权限......
Linux权限详解(chmod、600、644、666、700、711、755、777、4755、6755、7755)
散尽浮华
12-18 7万+
权限简介     Linux系统上对文件的权限有着严格的控制,用于如果相对某个文件执行某种操作,必须具有对应的权限方可执行成功。     Linux下文件的权限类型一般包括读,写,执行。对应字母为 r、w、x。     Linux下权限的粒度有 拥有者 、群组 、其它组 三种。每个文件都可以针对三个粒度,设置不同的rwx(读写执行)权限。通常情况下,一个文件只能归属于一个用户和组, 如果其它的用...
利用openssl搭建CA
xhch2009的专栏
10-18 738
需求描述: (1) 在节点上搭建一个CA; (2) 给用户user1颁发证书; (3) 验证证书的可信。 1.创建CA –(1)创建CA需要用到的目录和文件 –mkdir "$HOME/testca" –cd "$HOME/testca" –mkdir newcerts private conf –chmod g-rwx,o-rwx private –echo"
利用openssl创建一个简单CA
雕虫小技
04-26 2万+
 本文旨在利用开源openssl软件,在Linux(或UNIX/Cygwin)下创建一个简单CA。我们可以利用这个CA进行PKI、数字证书相关的测试。比如,在测试用Tomcat或Apache构建HTTPS双向认证时,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。  该简单CA将建立在用户自己的
OpenSSL建立自己的CA
inter999的专栏
10-29 2053
(1) 环境准备首先,需要准备一个目录放置CA文件,包括颁发的证书和CRL(Certificate Revoke List)。这里我们选择目录 /opt/ca。然后我们在/opt/ca下建立两个目录,certs用来保存我们的CA颁发的所有的证书的副本;private用来保存CA证书的私钥匙。CA的私钥匙很重要,至少需要2048位长度。建议保存在硬件里,或者至少不要放在网络。除了生
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
ca.rar_CA_open ssl_openssl apps.h
09-20
本软件包将每个openssl的apps程序做成一个可直接运行调试的VC Console 类型应用程序,方便研究和运用openssl的朋友,避免了openssl在windows下的编译问题,并且因为可以在VC环境下进行调试,使得对openssl的各个应用...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
使用pthread库实现openssl多线程ssl服务端和客户端
09-04
使用pthread库实现openssl多线程ssl服务端和客户端,大家参考使用
Glassfish4.1和Tomcat配置Https访问
ASIN的专栏
12-31 3926
1. 证书配置切换到目录“/root/glassfish-4.1/glassfish/domains/domain1/config”进行如下操作,注意上述目录需根据自己的Glassfish安装目录调整。1、首先删除系统默认的s1as(注意是s1as而不是slas;以下密码统一为changeit )keytool -delete -alias s1as -keystore keystore.jks -
阿里云SSL证书在GlassFish服务器上的部署教程
SSL加密技术
11-16 138
SSL证书部署是一项技术活,需要了解相关的教程或者有专业的技术人员进行指导方可进行安装。下面主要介绍SSL证书在GlassFish服务器上的部署教程。 (注:本文SSL证书名称以cer01为示例,如证书文件名称为cer01.pem,证书密钥文件名称为cer01.key。) 第一步,申请合适的SSL证书。等SSL证书颁发下来,需要下载才能使用。 第二步,单击证书卡片右下角的下载,定位到其他服务器类型,并单击右侧操作栏的下载将证书压缩包下载到本地。 第三步,解压已下载保存到本地的SSL证书文件。您将看
glassfish3安装自签名SSL证书(Linux)
不懂了e的博客
04-08 704
GlassFish证书生成安装和Https配置 一、生成证书 1.首先进入config目录 cd /opt/glassfish3/glassfish/domains/domain1/config 2.删除本地秘钥 keytool -delete -alias s1as -keystore keystore.jks -storepass changeit 3....
GlassFish Server 配置https访问方式(一)
ZJin_Hua的专栏
12-16 1927
GlassFish Server 默认是支持https访问方式,下述自定义配置   步骤1 ,  cd  C:\Program Files\Java\jdk1.7.0_45\bin   步骤2 , 生成keystore文件,命令如下              keytool -genkeypair -keyalg RSA -
GlassFish服务器上安装SSL证书教程
云计算分享家
02-03 605
首先你得有SSL证书,没有的可以到腾讯云和阿里云申请免费SSL证书(参考:阿里云、腾讯云免费SSL域名证书申请教程),或者购买SSL证书。 背景信息 本文档证书名称以cer01为示例,如证书文件名称为cer01.pem,证书密钥文件名称为cer01.key。 操作步骤 1、在SSL证书页面,单击已签发标签,定位到需要下载的证书并单击证书卡片右下角的下载。 2、定位到其他服务器类型,并...
使用物理不可压缩(Physical Unclonable Function)功能的V2G轻量级相互认证协议
lyon____的博客
08-05 629
引自:Bansal G , Chamola V , Kumar N , et al. Lightweight Mutual Authentication Protocol for V2G Using Physical Unclonable Function[J]. IEEE Transactions on Vehicular Technology, 2020, PP(99). 所面临的物理问题: 1.(人为恶意攻击)电动汽车通常停放在易于接近的位置。这意味着对手可以轻松捕获这些车辆上的V2G设备。因..
华为OD机试D卷 - 用连续自然数之和来表达整数 - 免费看解析和代码.html
05-10
私信博主免费获取真题解析以及代码
Screenshot_2024-05-10-20-21-01-857_com.chaoxing.mobile.jpg
最新发布
05-10
Screenshot_2024-05-10-20-21-01-857_com.chaoxing.mobile.jpg
Mosquitto使用SSL单向认证时的三个文件是如何使用openssl生成的?
06-11
在Mosquitto使用SSL单向认证时,需要准备以下三个文件:CA证书、服务器证书和私钥。可以使用openssl工具生成这些文件,具体步骤如下: 1. 生成CA证书和私钥: ``` openssl req -new -x509 -days 365 -extensions...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值