在开发环境及私有环境下需要使用SSL,于是使用openssl创建自签发证书,支持多域名、泛域名、直接IP访问。
一、使用openssl生成证书自签名
openssl在centos中是标配,所以直接在centos中操作,因为要多个域名和IP,故而需要编辑一个配置文件,如下:
$ vim req.cnf
# 定义输入用户信息选项的"特征名称"字段名,该扩展字段定义了多项用户信息。
distinguished_name = req_distinguished_name
# 生成自签名证书时要使用的证书扩展项字段名,该扩展字段定义了要加入到证书中的一系列扩展项。
x509_extensions = v3_req
# 如果设为no,那么 req 指令将直接从配置文件中读取证书字段的信息,而不提示用户输入。
prompt = no
[req_distinguished_name]
#国家代码,一般都是CN(大写)
C = CN
#省份
ST = Beijing
#城市
L = Beijing
#企业/单位名称
O = phpkoo
#企业部门
OU = phpkoo
#证书的主域名
CN = phpkoo.com
##### 要加入到证书请求中的一系列扩展项 #####
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[ alt_names ]
DNS.1=第一个域名
DNS.2=第二个域名
DNS.N=第N个域名
IP.1=第一个IP
IP.2=第二个IP
IP.N=第N个IP
其中IP配置项可有可无。
$ mkdir -p ssl/
$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./ssl/private.key -out ./ssl/ssl.crt -config ./req.cnf -sha256
至此证书生成完成
可以下载ssl目录下的private.key和ssl.crt文件
openssl 命令参数说明:
req 大致有3个功能:生成证书请求文件、验证证书请求文件和创建根CA。
-x509 说明生成自签名证书。
-nodes openssl req在自动创建私钥时,将总是加密该私钥文件,并提示输入加密的密码。可以使用”-nodes”选项禁止加密私钥文件。
-days 指定所颁发的证书有效期。
-key 指定输入的密钥,如果不指定此选项会根据 -newkey 选项的参数生成密钥对。
-newkey 指定生成一个新的密钥对,只有在没有 -key 选项的时候才生效,参数形式为rsa:numbits或者dsa:file,例如:rsa:2048 rsa表示创建rsa私钥,2048表示私钥的长度。
-keyout 指定私钥保存位置。
-out 新的证书请求文件位置。
-config 指定req的配置文件,指定后将忽略所有的其他配置文件。如果不指定则默认使用/etc/pki/tls/openssl.cnf中req段落的值。
二 、openssl导出证书
pkcs12 -export -out D:\gzjgcert.pfx -name gzjgcert -in D:\full_chain.pem -inkey D:\private.key
,-name gzjgcert 指定别名,按照要求输入两次密码,这时在d盘生成了name.pfx文件。
-name 指定别名
三、用keytool工具生成jks文件:打开cmd命令工具,进入jdk的bin目录,输入命令:
Keytool -importkeystore -srckeystore D:\gzjgcert.pfx -destkeystore D:\gzjgcert.jks -srcstoretype PKCS12 -deststoretype JKS
按照要求输入密码,然后在d盘就生成了jks文件。
keytool -importkeystore -srckeystore D:\gzjgcert.jks -destkeystore D:\gzjgcert.jks -deststoretype pkcs12
迁移到行业标准格式 PKCS12。