使用openssl创建多泛域名及IP的自签名证书

在开发环境及私有环境下需要使用SSL，于是使用openssl创建自签发证书，支持多域名、泛域名、直接IP访问。

一、使用openssl生成证书自签名

openssl在centos中是标配，所以直接在centos中操作，因为要多个域名和IP，故而需要编辑一个配置文件，如下：

$ vim req.cnf

# 定义输入用户信息选项的"特征名称"字段名，该扩展字段定义了多项用户信息。
distinguished_name = req_distinguished_name
# 生成自签名证书时要使用的证书扩展项字段名，该扩展字段定义了要加入到证书中的一系列扩展项。
x509_extensions = v3_req

# 如果设为no，那么 req 指令将直接从配置文件中读取证书字段的信息，而不提示用户输入。
prompt = no

[req_distinguished_name]
#国家代码，一般都是CN(大写)
C = CN
#省份
ST = Beijing
#城市
L = Beijing
#企业/单位名称
O = phpkoo
#企业部门
OU = phpkoo
#证书的主域名
CN = phpkoo.com

##### 要加入到证书请求中的一系列扩展项 #####
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1=第一个域名
DNS.2=第二个域名
DNS.N=第N个域名
IP.1=第一个IP
IP.2=第二个IP
IP.N=第N个IP

其中IP配置项可有可无。

$ mkdir -p ssl/
$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./ssl/private.key -out ./ssl/ssl.crt -config ./req.cnf -sha256

至此证书生成完成

可以下载ssl目录下的private.key和ssl.crt文件

openssl 命令参数说明：

req 大致有3个功能：生成证书请求文件、验证证书请求文件和创建根CA。

-x509 说明生成自签名证书。

-nodes openssl req在自动创建私钥时，将总是加密该私钥文件，并提示输入加密的密码。可以使用”-nodes”选项禁止加密私钥文件。

-days 指定所颁发的证书有效期。

-key 指定输入的密钥，如果不指定此选项会根据 -newkey 选项的参数生成密钥对。

-newkey 指定生成一个新的密钥对，只有在没有 -key 选项的时候才生效，参数形式为rsa:numbits或者dsa:file，例如：rsa:2048 rsa表示创建rsa私钥，2048表示私钥的长度。

-keyout 指定私钥保存位置。

-out 新的证书请求文件位置。

-config 指定req的配置文件，指定后将忽略所有的其他配置文件。如果不指定则默认使用/etc/pki/tls/openssl.cnf中req段落的值。

二 、openssl导出证书

pkcs12 -export -out D:\gzjgcert.pfx -name gzjgcert -in D:\full_chain.pem -inkey D:\private.key

，-name gzjgcert 指定别名，按照要求输入两次密码，这时在d盘生成了name.pfx文件。

-name   指定别名

三、用keytool工具生成jks文件：打开cmd命令工具，进入jdk的bin目录，输入命令：

Keytool -importkeystore -srckeystore D:\gzjgcert.pfx -destkeystore D:\gzjgcert.jks -srcstoretype PKCS12 -deststoretype JKS

按照要求输入密码，然后在d盘就生成了jks文件。

keytool -importkeystore -srckeystore D:\gzjgcert.jks -destkeystore D:\gzjgcert.jks -deststoretype pkcs12

迁移到行业标准格式 PKCS12。