使用keytool工具产生带根CA和二级CA的用户证书
1 生成根CA
1.1 生成根CA证书
根CA实际是一张自签CA,自签CA的使用者和颁发者都是它自己。使用下面的命令生成根证书,如果没有指定keystore则会使用默认在用户Home目录下的.keystore秘钥库(如果没有则会创建),输入秘钥库的密码,填写根证书的信息,最后填写根证书秘钥对的密码。
keytool -genkeypair -alias rootca -keyalg RSA
如图是我填写的根证书信息,根CA的名字叫rootca:
1.2 导出根CA证书
使用keytool的导出功能,从秘钥库中导出根证书,输入秘钥库的密码,导出的证书文件为rootca.cer命令如下:
keytool -exportcert -alias rootca -file rootca.cer
2 生成二级CA
2.1 生成二级CA证书
二级CA证书需要由根证书进行签发,首先需要使用keytool生成二级CA的证书,但是此时的证书还是张自签证书,我们需要从中生成一个二级CA的证书请求(包含了公钥),然后通过将证书请求到rootca签发我们的二级证书,然后我们在将rootca签发的二级CA证书导入到导出证书请求的秘钥库中,完成二级CA的生成。下面是生成二级CA证书命令,此时是张自签证书:
keytoo