【SSL】使用Keytool工具生成证书及签名完整步骤

最新推荐文章于 2024-05-28 13:51:00 发布
最新推荐文章于 2024-05-28 13:51:00 发布
阅读量3.3w 收藏 32
点赞数 10
分类专栏: SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sayyy/article/details/78351512
版权

前言

  • jdk 1.8
  • OS:redhat 7.0
  • linux 命令的换行符为 \
  • window 命令的换行符为 ^。本文中的命令在 redhat 上进行的测试。如果使用windows时,将下面的命令中的 \ 替换为 ^

使用Keytool工具生成证书及签名完整步骤

  1. 创建证书库(keystore)及证书(Certificate)
  2. 生成证书签名请求(CSR)
  3. 将已签名的证书导入证书库

下面以为”www.mydomain.com“域名制作数字证书为例进行操作。

创建证书库(keystore)及证书(Certificate)

命令如下:

keytool -genkeypair \
        -alias www.mydomain.com \
        -keyalg RSA \
        -keysize 4096 \
        -keypass mypassword \
        -sigalg SHA256withRSA \
        -dname "cn=www.mydomain.com,ou=xxx,o=xxx,l=Beijing,st=Beijing,c=CN" \
        -validity 3650 \
        -keystore www.mydomain.com_keystore.jks \
        -storetype JKS \
        -storepass mypassword

解释:

  • keytool 是jdk提供的工具,该工具名为”keytool“
  • -alias www.mydomain.com 此处”www.mydomain.com“为别名,可以是任意字符,只要不提示错误即可。因一个证书库中可以存放多个证书,通过别名标识证书。
  • -keyalg RSA 此处”RSA“为密钥的算法。可以选择的密钥算法有:RSA、DSA、EC。
  • –keysize 4096 此处”4096“为密钥长度。keysize与keyalg默认对应关系:
    2048 (when using -genkeypair and -keyalg is “RSA”)
    1024 (when using -genkeypair and -keyalg is “DSA”)
    256 (when using -genkeypair and -keyalg is “EC”)
  • -keypass mypassword 此处”mypassword “为本条目的密码(私钥的密码)。最好与storepass一致。
  • -sigalg SHA256withRSA 此处”SHA256withRSA“为签名算法。keyalg=RSA时,签名算法有:MD5withRSA、SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA。keyalg=DSA时,签名算法有:SHA1withDSA、SHA256withDSA。此处需要注意:MD5和SHA1的签名算法已经不安全。
  • -dname “cn=www.mydomain.com,ou=xxx,o=xxx,l=Beijing,st=Beijing,c=CN” 在此填写证书信息。“CN=名字与姓氏/域名,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”
  • -validity 3650 此处”3650“为证书有效期天数。
  • -keystore www.mydomain.com_keystore.jks 此处”www.mydomain.com_keystore.jks“为密钥库的名称。此处也给出绝对路径。默认在当前目录创建证书库。
  • -storetype JKS 此处”JKS “为证书库类型。可用的证书库类型为:JKS、PKCS12等。jdk9以前,默认为JKS。自jdk9开始,默认为PKCS12。
  • -storepass mypassword 此处”mypassword “为证书库密码(私钥的密码)。最好与keypass 一致。

说明:
上述命令,需要将 -dname 参数替换(尤其时域名要写对)、密码更改即可,其它可保持不变。

生成证书签名请求(CSR)

命令如下:

keytool -certreq -keyalg RSA \
        -alias www.mydomain.com \
        -keystore www.mydomain.com_keystore.jks \
        -storetype JKS \
        -storepass mypassword \
        -file www.mydomain.com_certreq.csr

解释:
-file www.mydomain.com_certreq.csr 此处”www.mydomain.com_certreq.csr “为证书签名请求文件。

说明:
将”www.mydomain.com_certreq.csr “文件发送给证书签名机构,然后等待证书签名机构将签名的证书发回,再进行下一步。

将已签名的证书导入证书库

如果到了这步,应该会拿到两个证书。一个是签名机构的根证书(假定为GlobalSign_cert.cer),一个是www.mydomain.com的已签名证书(假定为www.mydomain.com_cert.cer)。两个证书均导入到证书库(www.mydomain.com_keystore.jks)中。

导入签名机构的根证书:

keytool -import -trustcacerts \
        -keystore www.mydomain.com_keystore.jks \
        -storepass mypassword \
        -alias root_GlobalSign \
        -file GlobalSign_cert.cer

说明:
alias和file两个参数进行替换。

导入www.mydomain.com的已签名证书

keytool -import -trustcacerts \
        -keystore www.mydomain.com_keystore.jks \
        -storepass mypassword \
        -alias www.mydomain.com \
        -file www.mydomain.com_cert.cer

说明:
alias参数要与生成时一致,file参数进行替换。

辅助命令

查看证书库

keytool -list -v \
        -keystore www.mydomain.com_keystore.jks \
        -storepass mypassword

查看证书签名请求

keytool -printcertreq  -file www.mydomain.com_certreq.csr

查看已签名证书

keytool -printcert -file GlobalSign_cert.cer
keytool -printcert -file www.mydomain.com_cert.cer
sayyy
关注
  • 10
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
keytool错误 java,keytool错误:java.lang.Exception:答复和密钥库中的公共密钥不匹配
weixin_34768019的博客
02-24 1882
I have this problem when I import a certification file into keystore:keytool error: java.lang.Exception: Public keys in reply and keystore don't matchI do this this operation:1) create my keystore on ...
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
下面将详细介绍这两个工具以及如何使用它们生成证书。 1. **openssl** OpenSSL是一款开源的SSL/TLS库,它包含了一系列强大的加密算法,支持多种证书格式。在HTTPS证书生成过程中,openssl主要用来生成私钥和CSR...
keytool生成证书
01-02
keytool生成证书及私钥,密码都为12345678
KeyTool 工具生成X.509证书
08-06
NULL 博文链接:https://314649444.iteye.com/blog/2076202
spring boot启动使用https(支持证书生成和同时支持http和https,使用keytool生成证书)
最新发布
weixin_38941757的博客
05-28 1189
此时启动项目就可以使用https访问了,这时是不能使用http访问的。
Tomcat 自定义签名证书生成与部署
weixin_34405332的博客
09-03 321
2019独角兽企业重金招聘Python工程师标准>>> ...
android应用程序签名问题
xiaotian15的专栏
01-24 1641
一、签名代码 (首先配置好jdk的路径,keytool和jarsigner都是java的类库) 1.生成签名文件 keytool -genkey -alias MyFirstApp.keystore -keyalg RSA -validity 40000 -keystore MyFirstApp.keystore 2.应用签名文件给文件签名 jarsigner -verbose -k
keytool error: java.lang.Exception: Input not an X.509 certificate
夏诗鸢的博客
03-04 3853
使用keytool时出现此错误,本机出现此错误的原因是:使用了openjdk,而此工具需要使用oracle自带的jdk。 1、查看当前机器使用的jdk: rpm -qa | grep jdk 本机查询到的结果是:openjdk 2、使用yum remove 卸载当前已安装的openjdk。 3、在oracle官网下载linux系统适用的jdk。 4、在本机配置环境变量:vim /e...
OpenSSL生成ssl证书
01-11
3. **生成证书签名请求(CSR)**:接着,基于刚才生成的私钥创建一个证书签名请求,这将包含服务器的相关信息。命令如下: ``` openssl req -new -key private.key -out CSR.csr ``` 在交互式提示中,输入服务器的...
使用openssl 生成免费证书的方法步骤
09-14
在本文中,我们只触及了openssl的部分基础知识,实际上,openssl还包括更多的功能和配置选项,例如生成签名证书、证书吊销列表(CRL)管理以及SSL/TLS会话缓存等。学习和掌握openssl的详细用法,能帮助我们在实际...
Java keytool 错误: java.lang.Exception: 未生成密钥对, 别名 <xxx> 已经存在
旭东怪的博客
10-20 5216
问题描述: keytool 错误: java.lang.Exception: 未生成密钥对, 别名 <merlion> 已经存在 问题分析: 1、生成merlion.jks文件是秘钥不对导致未生成密钥对。 解决办法: 删除当前目录下的merlion.jks文件,重新生成。 ...
使用Keytool工具生成证书Keystore和证书签名请求文件
热门推荐
u014386474的博客
07-22 2万+
keytool的几个常用的命令。 1.创建证书 2.查看证书库 3.导出证书文件 4.导入证书的信息 5.查看证书信息 6.删除密钥库中的条目 7.修改证书条目的口令 -------------------------------------------------------------------------------------- 预备
RestTemplate 调用接口报错 sun.security.validator.ValidatorException: PKIX path building failed
空明的博客
12-27 962
使用 RestTemplate 调用远程接口,报错:PKIX path building failed
keytool错误 java_的keytool错误java.lang.Exception的:无法解析输入
weixin_31832681的博客
02-24 1367
这个问题可能是重复的,但我不能够得到解决, 我试图创建SSL证书与下面的命令,的keytool错误java.lang.Exception的:无法解析输入C:\Program Files\Java\jdk1.6.0_05\bin>keytool -genkey -alias tomcat -keyalg RSA-keystore E:\keyEnter keystore password:R...
使用JDK自带的keytool工具生成证书
【轰炸机】的博客
08-16 1485
使用JDK自带的keytool工具生成证书keytool命令详情生成密钥对 keytool命令详情 D:\tmp>java -version java version "1.8.0_91" Java(TM) SE Runtime Environment (build 1.8.0_91-b15) Java HotSpot(TM) 64-Bit Server VM (build 25.91-b...
Android KeyTool不展示md5签名问题记录
Rayman
05-11 9508
Android KeyTool不展示md5签名问题记录 通过keytool -v -list -keystore xxx.keystore 输出keystore信息,在我这设备上不会输出md5签名 keytool -v -list -keystore xxx.keystore [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1YEUxjd6-1652240838219)(https://note.youdao.com/yws/res/59747/4A47841256014E6
Android证书通过keytool获取sha1、sha256、MD5
qq_40666120的博客
06-12 1690
项目要接入华为推送,需要项目的sha256签名 我们在使用第三方服务时一般要申请key,而申请key一般需要包名或者SHA1。一般这个SHA1值分为两种,测试版和发布版。可以分别通过debug.keystore和release.keystore获取。 一、针对已经签名的项目 1、那么打开cmd 进入到该目录(签名目录) 2、执行keytool命令 keytool -list -v -keystore +绝对路径 D:\abc> keytool -list -v -keystore D:\abc
keytool 错误: java.lang.Exception: 密钥库文件不存在:
a1063560406的博客
11-10 1万+
解决方法:a  保证1的路径下有keytool.exe   b  保证1的路径下有 daohang.jks,没有的话就复制过来,这个是签名文件   c  回车输入你设置的签名文件密码就ok了。获得的是你发布版sha1   d  要想获得开发版sha1 把daohang.jks改成debug.keystore(同样确保debug.keystore 要在1的目录下,没有的话复制过来,找不
使用keytool生成签名证书
05-22
使用 keytool 生成签名证书的步骤如下: 1. 打开命令行窗口,进入到 Java 安装目录下的 bin 目录(通常在 C:\Program Files\Java\jdk[版本号]\bin)。 2. 输入以下命令,生成密钥库文件: ```keytool -genkey -...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值