用Keytool和OpenSSL生成和签发数字证书

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量1.3w 收藏 8
点赞数 3
分类专栏: weblogic
    在数字证书使用过程中,会遇到签发证书问题,一般来说,有3个解决方法:
    1.交由受信任的第三方证书颁发机构签名;
    2.自签名;
    3.自制CA证书并用其签名。
    对于上线运营的网站来说,第一个方案是首选,因为只有这样浏览器才不会报警。过去买证书很贵,现在倒是有免费的了,比如IE和Firefox都支持的StartSSL。
    不同的证书颁发机构对于证书生成多少都会有自己的要求,所以本文主要讨论后两种方案。
    下面用OpenSSL生成CA签名的证书,用Keytool生成CSR(Certificate Signing Request)。

一、准备
  1)在工作目录下新建目录 demoCA、demoCA/private、demoCA/newcerts
  2) 在demoCA建立一个空文件 index.txt
  3) 在demoCA建立一个文本文件 serial, 没有扩展名,内容是一个合法的16进制数字,例如 0000
  4) 配置环境变量PATH,加入%JAVA_HOME%/bin,本文用的JavaSDK1.6

二、生成CA的自签名证书
    openssl req -new -x509 -keyout ca.key -out ca.cer -days 3650 -config openssl.cnf
    req命令表示创建证书,new参数表示创建私钥而不是从已存在的文件中读取,nodes参数表示不加密私钥。如果不添加nodes参数,以后每次使用私钥时都必须输入密码(如Apache每次重启)
openssl.cnf在openssl压缩包的share目录下

输入证书信息时,Country Name填入CN,Common Name输入单位名称,即最后显示的颁发者

三、生成server端证书
    这步使用的是JDK的keytool工具
1)    生成KeyPair生成密钥对
keytool -genkeypair -alias server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456  -storepass 123456 -keystore server.keystore
  输入common name时,要和服务器的域名保持一致。
2)    生成证书签名请求
keytool -certreq -alias server -sigalg MD5withRSA -file server.csr -keypass 123456 -storepass 123456 -keystore server.keystore

四、使用OpennSSL签发证书
    openssl ca -in server.csr -out server.cer -cert ca.cer -keyfile ca.key -notext -config openssl.cnf
  其中-notext表示不要把证书文件的明文内容输出到文件中去,否则在后面用keytool导入到keystore时会出错。
在签名时,如果报“The stateOrProvinceName field needed to be the same in the CA certificate”,是因为在openssl.cfg中的policy_match里面的前三个都选了match,修改成
stateOrProvinceName = optional
organizationName = optional
就可以了

五、导回签发后的证书
  1) 导入信任的CA根证书到keystore
   keytool -importcert -v -trustcacerts  -alias ca_root -file ca.cer -storepass 123456 -keystore server.keystore
  2) 把CA签名后的server端证书导入keystore
keytool -importcert -v -alias server -file server.cer -storepass 123456 -keystore server.keystore
  3) 查看server端证书
   keytool -list -v -keystore server.keystore  
可以看到tomcat_server的证书链长度是2

报failed to update database
TXT_DB error number 2
错误时
产生的原因是:
This thing happens when certificates share common data. You cannot have two certificates that look otherwise the same.

方法一:
修改demoCA下 index.txt.attr,将
unique_subject = yes 改为
unique_subject = no

方法二:
删除demoCA下的index.txt,并再touch下
rm index.txt  
touch index.txt  

方法三:
将 common name设置成不同的


单独生成私钥
openssl genrsa -des3 -out class1.key

生成请求文件
openssl req -new -days 365 -key class1.key -out class1.csr -config openssl.cnf

如果运行签发的证书再做为CA,那么在ca签名时加上
-extensions v3_ca


转自:http://www.nowfox.com/Look.aspx?ID=5123

rznice
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Openssl+Keytool签发证书
jalused的专栏
07-18 1896
Openssl+Keytool签发证书以下以生成一个别名(alias)为jetty,根证书为ca.crt,授权证书为server.crt为例。Keytool生成签发证书keytool -genkey -alias jetty -keyalg RSA -keystore my_keystore 经过以上操作,在产生的my_keystore中包含了一个自签发证书和其密钥。用my_keystore即
OpensslKeytool相关指令
weixin_40908937的博客
10-09 257
#查看私钥,需要输入私钥密码 openssl rsa -in rsa.key #证书校验 openssl verify -CAfile trust.cer server.pem #用openssl导出证书和key openssl pkcs12 -in server.keystore.pkcs12 -clcerts -nokeys -out cert.pem openssl pkcs12 -in...
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2381
本地使用 openssl 生成证书
证书操作(opensslkeytool)
mhc9348的专栏
06-15 1473
最近弄了很久的证书相关的东西,对其中使用到的一些命令做下记录,有空再补一下使用的java代码 证书转换(openssl): openssl pkcs12 -export -inkey test.key -in test.cer -out test.pfx openssl pkcs12 -in test.pfx -nodes -out test.pem openssl rsa -in te...
SSL:用Keytool生成签发数字证书
zzhongcy的专栏
03-26 6345
参考: http://chrui.iteye.com/blog/1018711 http://blog.sina.com.cn/s/blog_634d74310101c7bg.html http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html http://blog.csdn
opensslkeytool制证(tomcat ssl配置)
swit1983的专栏
08-09 3025
编译好openssl就可以使用了。 生成CA跟证书与私钥req -new -x509 -keyout ca.key -out ca.crt -days 365 -config openssl.cnf这样我们就得到了私钥文件ca.key ca根证书ca.crt。openssl.cnf可以去官网下载 不过它是适合linux系统的,需要修改,全部改成双//。
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
opensslkeytool都是生成https证书的工具,可以在windows上安装使用,附带一些操作说明,希望可以帮助大家
CA.zip_certificates_openssl 证书_数字证书
09-24
本主题将深入探讨如何使用KeytoolOpenSSL这两个工具来生成签发数字证书。 首先,让我们了解什么是数字证书数字证书是一种电子文档,由受信任的证书颁发机构(CA)签发,它包含公钥的所有者信息以及公钥本身。...
java生成证书 包括openssl
12-05
Java 生成证书是指通过 Java 的 keytool 工具和 OpenSSL生成数字证书的过程。在 HTTPS 环境下,证书是必不可少的组件, play a crucial role in ensuring the security and authenticity of online transactions....
使用openssl 生成免费证书的方法步骤
09-14
4. **服务器身份验证**:openssl用于生成和管理服务器的数字证书,确保服务器的身份可信。 总的来说,openssl通过非对称加密、数字签名和数字证书等技术,为互联网通信提供了安全保障,防止数据在传输过程中被窃取...
OpenSSL and Keytool
04-11
OpenSSLKeytool是两个在IT领域中广泛使用的工具,主要涉及网络安全和证书管理。OpenSSL是一个开源的库,提供了各种加密算法、安全协议以及用于创建数字证书的工具。Keytool则是Java平台上的一个命令行工具,用于...
KeyTool制作证书
04-03
KeyTool制作证书
java + keytool+openssl 实现批量生成客户端证书
06-07
使用Java实现根据ca购买到的根证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认证
openssl+keytool+tomcat自签名证书
07-24
openssl+keytool+tomcat自签名证书
OpenSSL证书管理
09-13
在本文档中,我们将深入探讨如何使用OpenSSL来制作和管理证书,这些证书数字证书认证和Java安全环境中至关重要。首先,我们来看构建根证书的过程: 1. **生成证书私钥**: 使用`openssl genrsa`命令创建一个...
OpenSSLkeytool 的区别
LawssssCat的博客
03-14 3835
(科普向,大神笑笑就好) 学习生成证书的过程,我们会用到 连个工具:opensslkeytool 进一步了解,我们会知道,这两个工具,单独也可以生成证书。 那他们生成证书区别是什么? 数字证书管理工具opensslkeytool的区别 一句话:keytool没办法签发证书,而openssl能够进行签发证书链的管理 因此,keytool 签发的所谓证书只是一种 自签名证书 自签名证书 所...
【ssl认证、证书】SSL 证书基本概念、证书格式、opensslkeytool的区别
m0_45406092的博客
03-30 1859
csr 是证书请求文件,由客户生成,然后提供给CA签发机构,是由 RFC 2986定义的PKCS10格式,包含部分/全部的请求证书的信息,比如,主题, 机构,国家等,并且包含了请求证书的公玥,这些被CA签发机构中心签名后返回一张证书。前面我们知道了二进制和文本形式的证书格式,那么为了便于用户识别证书的协议等信息,约定了一些后缀,通过后缀,用户大概就知道了证书的一些信息。der 和pem 是协议,又可以直接作为后缀名,让用户知道是用二进制还是文本存储的,但是具体的内容可以是证书,也可以是密钥。
keytool openssl
xiaozhegaa的博客
11-10 525
keytool工具使用 位置: D:\JavaEnvironment\jdk1.8.0\bin 常用命令: 生成keypair keytool -genkeypair keytool -genkeypair -alias lisi(后面部分是为证书指定别名,否则采用默认的名称为mykey) 看看keystore中有哪些项目: keytool -list或keytool -list -v keytool -exportcert -alias lisi -file lisi.cer 生成可打印的证书: k
openssl和java keytool命令区别
weixin_30779691的博客
07-04 241
证书格式: ......... 转载于:https://www.cnblogs.com/yszzu/p/9261854.html
使用Keytool 工具生成的CSR和OpenSSL工具生成的CSR区别
02-07
Keytool是Java开发工具包中的一种命令行工具,用于...在生成CSR时,两者的主要区别在于使用的证书存储库不同,Keytool使用JKS格式的证书存储库,而OpenSSL使用PEM格式的证书存储库。此外,在命令行和参数上也有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值