openssl 生成keystore

最新推荐文章于 2024-09-22 13:57:57 发布
最新推荐文章于 2024-09-22 13:57:57 发布
阅读量6.8k 收藏 10
点赞数 3
分类专栏: java

最近项目里面用到了SSL双向认证和传输加密的技术,研究了一下,想把相关的指令和代码分享出来,以期后来者能够少踩坑,顺利解决问题。我们的项目服务器是C,客户端为Java,CS架构,中间通过Socket通讯。

OpenSSL和Java KeyStore本质上没有关系,只是客户端用到Java,Java里面SSL认证加密的密码和证书需要存储到KeyStore这个容器里面,所以OpenSSL产生的相关资料需要导入keyStore容器。当然也可以反过来,用Java的KeyTool产生资料,再导出密码、证书,给服务器端C使用。不过OpenSSL比Java的keytool强大很多,故选择前一种方式。OpenSSL产生资料,存入KeyStore。本文只介绍用到的一系列指令。

这里涉及到三份证书。根证书(root.crt),自签名的,用于给其它证书授权。服务器证书(server.crt)。以及客户端证书(client.crt),一般系统不需要,我们的系统是双向认证,客户端也要证书。

指令列表

  1. openssl genrsa -out rootkey.pem 2048
    生成根证书的密匙。
  2. openssl req -x509 -new -key rootkey.pem -out root.crt
    生成根证书。注意-x509,与步骤4和7不同。需要输入机构相关信息。
  3. openssl genrsa -out clientkey.pem 2048
    生成客户端的密匙。
  4. openssl req -new -key clientkey.pem -out client.csr 生成客户端证书的请求文件。请求根证书来签发。
  5. openssl x509 -req -in client.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650-out client.crt
    用根证书来签发客户端请求文件,生成客户端证书client.crt。
  6. openssl genrsa -out serverkey.pem 2048
    生成服务器端的密匙。
  7. openssl req -new -key serverkey.pem -out server.csr
    生成服务器端证书的请求文件。请求根证书来签发。
  8. openssl x509 -req -in server.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650-out server.crt
    用根证书来签发服务器端请求文件,生成服务器端证书server.crt。
  9. openssl pkcs12 -export -in client.crt -inkey clientkey.pem -out client.pkcs12
    打包客户端资料为pkcs12格式(client.pkcs12)。需要输入密码,请记住。
  10. openssl pkcs12 -export -in server.crt -inkey serverkey.pem -out server.pkcs12
    打包服务器端资料为pkcs12格式(server.pkcs12 )。需要输入密码,请记住。
  11. keytool -importkeystore -srckeystore client.pkcs12 -destkeystore client.jks -srcstoretype pkcs12
    生成客户端keystore(client.jks)。使用keytool的importkeystore指令。pkcs12转jks。需要pkcs12密码和jks密码。
  12. keytool -importkeystore -srckeystore server.pkcs12 -destkeystore server.jks -srcstoretype pkcs12
    生成服务器端keystore(server.jks)。使用keytool的importkeystore指令。pkcs12转jks。需要pkcs12密码和jks密码。
  13. keytool -importcert -keystore server.jks -file root.crt
    这一步不一定需要的。我发现服务器使用JDK6和JDK7的时候,必须要把根证书加到服务器证书里面,否则交谈失败。nul certification。Google里面很多结果,但是都不灵光。

后记

理解概念是最重要的,路有很多条。以上指令还缺少几条,用来生成服务器端的trustkeystore,客户端的trustkeystore。trustkeystore里面不包含私匙

参考链接

补上TrustKeyStore指令

  • keytool -importcert -alias ca -file root.crt -keystore clienttrust.jks
    生成Client端的对外KeyStore。先把根证书放到里面。
  • keytool -importcert -alias clientcert -file client.crt -keystore clienttrust.jks
    把Client证书加到对外KeyStore里面。
  • keytool -importcert -alias ca -file root.crt -keystore servertrust.jks
    生成Server端的对外KeyStore。先把根证书放到里面。
  • keytool -importcert -alias servercert -file server.crt -keystore servertrust.jks
    把Server证书加到对外KeyStore里面。
l825918637
关注
专栏目录
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
Linux使用openssl生成ssl证书
ithongchou的博客
08-26 489
以上步骤展示了如何使用 OpenSSL 生成 SSL 证书及相关文件。你可以根据实际需要选择自签名证书或申请由认证机构签发的证书。
OpenSSL 把cer证书链以及key文件生成keystore,tomcat https配置
热门推荐
小V的博客
06-21 1万+
OpenSSL 把cer证书链以及key文件生成keystore,tomcat https配置
OpenSSLKeyStore指令小集
永无止境,上下求索
02-05 1万+
前言 最近项目里面用到了SSL双向认证和传输加密的技术,研究了一下,想把相关的指令和代码分享出来,以期后来者能够少踩坑,顺利解决问题。我们的项目服务器是C,客户端为Java,CS架构,中间通过Socket通讯。 OpenSSL和Java KeyStore本质上没有关系,只是客户端用到Java,Java里面SSL认证加密的密码和证书需要存储到KeyStore这个容器里面,所以OpenSSL产生的
OpenSSL 生成CA证书及终端用户证书
最新发布
2401_87254517的博客
09-22 693
生成好的server.crt和server.key文件放在与 nginx.conf 同级目录下,然后启动nginx。火狐浏览器–选项–隐私与安全–证书–查看证书–证书颁发机构–导入,把CA根证书。FireFox 浏览器访问https://www.ted2018.com。Chrome浏览器访问https://www.ted2018.com。导入进来,选中该证书,编辑信任,勾选“此证书可以标识网站”。用CA证书生成终端用户证书,得到server.crt。浏览器右键 ca.crt 安装,安装到“
openssl + keytool 生成keystore文件
Extra_warrior的博客
04-18 1355
运行条件:linux, 已安装openssl操作步骤:1. 获取证书内容 echo | openssl s_client -connect www.baidu.com:443该命令会打印出证书内容,复制证书内容:-----BEGIN CERTIFICATE----- 到 -----END CERTIFICATE-----2. 保存复制的内容到证书文件nano baidu.cer 生成并打开证...
OpenSSL与KeyTool相关操作(二)生成keystore和key文件——Windows7_32版
cs02308的专栏
03-15 2307
一软件环境 openssl版本为openssl1.0.2g。 二操作步骤与命令 首先在openssl的安装目录下找到bin目录,并在bin目录下创建demoCA目录,并在demoCA目录下创建newcerts目录,在demoCA目录下创建空文件index.txt供openssl使用,此种方式使用的配置文件是openssl安装目录下的ssl目录下的openssl.cnf配置文件,即默认配置。也
openssl生成keystore证书
IT打工匠
12-16 1368
openssl genrsa -out /home/ca/rootkey.pem 2048 生成根证书的密匙。 openssl req -x509 -new -key /home/ca/rootkey.pem -out /home/ca/root.crt 生成根证书。注意-x509,与步骤4和7不同。需要输入机构相关信息。 openssl genrsa -out /home/ca/clientkey.pem 2048 生成客户端的密匙。 openssl req -new -key /home/ca/cli
使用openssl创建ssl证书 并转换为keystore
Here I Am
09-23 2684
参考[url]http://blog.sina.com.cn/s/blog_4fd50c390101891c.html[/url] [url]http://www.blogjava.net/javabloger/archive/2008/04/17/193800.html[/url] [b]x509证书一般会用到三类文,key,csr,crt。[/b] Key 是私用密钥openssl格...
Java OpenSSL生成的RSA公私钥进行数据加解密详细介绍
09-01
OpenSSL生成的密钥导入Java程序,可以使用`java.security.spec.RSAPrivateKeySpec`和`java.security.spec.RSAPublicKeySpec`来加载私钥和公钥的PEM格式文件。然后,使用`Cipher`类进行加解密操作: ```java ...
openssl生成.keystore 签名
拒绝背八股文
10-12 640
使用.pk8 和.pem签名生成.keystore 签名 ---------------------------------- 将 platform.pk8 和 platform.x509.pem 格式的系统签名转换为 mykey.keystore 格式 需要系统中有openssl 和 jdk,windows 版openssl 可以在http://slproweb.com/products/Win...
OPENSSLKeyStore
DavyJonesWang的专栏
11-09 5158
1、OpenSSL实践 工作中需要配置使用SSL来双向认证并通信的FTP服务器,以OpenSSL和Java的keytool为例,来完成证书的制作: d:/openssl/mkcerts>openssl genrsa -out ca.key 1024 创建CA私钥 Loading 'screen' into random state - done warning, not mu
安全证书、OpenSSLkeystorekeystore生成过程讲得多)
09-20 1万+
OpenSSL安全证书的生成步骤: 这是国产数据库-达梦数据库-安全证书的生成过程。达梦数据库V7采用基于SSL的安全加密通信。 0.准备工作 安装openssl 在bin目录下建立ca文件夹 ca文件夹下建立newcerts,private文件夹 建立index.txt和serial文件,serial文件中深入内容01 更改配置文件dir        = ./demoCA
生成Apk签名证书keystoreopenssl与证书,keystore,jks,pem/pk8
ShareUs的专栏
10-28 3215
android app 无签名能否安装?可以! 其实这句话说得不全对。 你所谓的无签名其实里面已经有一个默认debug签名了。只不过debug签名时效只有一年而已。-- Android签名文件有很多种,比如最早的keystore,jks,pem/pk8等 1.KeyStore: KeyStore是Eclipse开发Android的时候最早的签名文件了. 2.JKS(Java key st...
生成keystore以及导出keystore公钥,私钥信息
RideBike
10-25 6527
有时候需要做一些证书,特别是安卓接入SDK,提交包什么的需要填入公钥私钥信息,可能需要RSA 1024位或其他位数的信息。3. 生成私钥companyname_private_key.pem文件。这里提供一个能获取keystore信息和公钥私钥的命令。openssl我就不再写了,自己再百度下怎么处理。keystore导出私钥(.key)操作步骤。2. 从PKCS12转换成PEM格式。2. 查看keystore信息。1. 从JKS转换到PKCS12。1. 生成keystore。4. 转换成pem证书。
OpenSSLKeyStore指令集合
gtfaww的博客
06-29 1042
OpenSSLKeyStore指令集合 OpenSSLKeyStore指令集合 前言 指令列表 TrustKeyStore指令 前言 最近项目里面用到了SSL双向认证和传输加密的技术,研究了一下,想把相关的指令和代码分享出来,以期后来者能够少踩坑,顺利解决问题。我们的项目服务器是C,客户端为Java,CS架构,中间通过Socket通讯。 OpenSSL和Jav...
安全加密基础—基本概念、keytool、openssl_win11 openssl keytool
2401_83739434的博客
04-16 393
我们打开转换后的pem文件,将其中-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----部分的内容复制到cert.pem中,把-----BEGIN PRIVATE KEY-----和-----END PRIVATE KEY-----部分的内容复制到pri_key.pem中。因此,当小明验证小红的证书时,会在系统里寻找能够解开小红证书的CA 公钥,若是找到则说明小明证书的颁发机构是可信任的,既然信任了该证书,那么从证书里取出的公钥,小明也认可是小红的。
安全加密基础—基本概念、keytool、openssl
01-02 1708
(1)本文不涉及源码、底层。只是讲解大概的密码演变过程和基本概念。能让接触到相关名词的人知道这些名词是干嘛的,为什么要有它。专业人士可以当作概念梳理,非专业人士可以当作科普。(2)本文你将了解到的概念:明文通信、无密钥密文通信、对称加密、非对称加密、信息摘要、数字签名、CA与数字证书、https、常用的密钥扩展名。(3)本文应用实践有:用java的Keytool生成密钥,keystore格式转pem,openssl生成私钥和证书。
证书生成keystore、truststore、crt、key)
IT从业者
03-27 1万+
证书生成keystore、truststore、crt、key)
openssl 生成jks
09-02
要在Windows上使用openssl生成jks证书,你需要按照以下步骤进行操作: 1. 首先,你需要下载并安装openssl。你可以从官方网站下载并安装openssl的Windows版本。 2. 下载完openssl之后,解压文件并找到\openssl-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值