安全证书、OpenSSL、keystore(keystore生成过程讲得多)

最新推荐文章于 2024-04-16 11:26:46 发布
最新推荐文章于 2024-04-16 11:26:46 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: pki

OpenSSL安全证书的生成步骤:

这是国产数据库-达梦数据库-安全证书的生成过程。达梦数据库V7采用基于SSL的安全加密通信。

0.准备工作
安装openssl
在bin目录下建立ca文件夹
ca文件夹下建立newcerts,private文件夹
建立index.txt和serial文件,serial文件中深入内容01
更改配置文件dir        = ./demoCA                     为dir        = ./CA    
            certificate    = $dir/cacert.pem       为certificate    = $dir/ca-cert.pem
            private_key    = $dir/private/cakey.pem为private_key    = $dir/private/ca-key.pem

设置环境变量OPENSSL_CONF为C:\OpenSSL\bin\openssl.cfg
进入openssl命令提示后
1.创建根密钥和证书请求
req -new -x509 -keyout ca/private/cakey.pem -out ca/ca-cert.pem -config openssl.cfg

2.创建服务器和客户端密钥
genrsa -out server-key.pem 1024
genrsa -out client-key.pem 1024

3.创建服务器和客户端的证书请求
req -new -key server-key.pem -out server.csr -config openssl.cfg
req -new -key client-key.pem -out client.csr -config openssl.cfg

4.证书签名
ca -in server.csr -out server-cert.pem -cert ca/ca-cert.pem -keyfile ca/private/ca-key.pem -config openssl.cfg
ca -in client.csr -out client-cert.pem -cert ca/ca-cert.pem -keyfile ca/private/ca-key.pem -config openssl.cfg

5.证书签名如果遇到下面的问题,可以清空index.txt文件内容后正常生成
Certificate is to be certified until Oct 16 05:51:39 2021 GMT (3650 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

6.证书签名如果遇到省份城市等不匹配时,可以修改openssl.cfg文件中的配置
# For the CA policy
[ policy_match ]
countryName        = match
stateOrProvinceName    = optional
organizationName    = optional
organizationalUnitName    = optional
commonName        = supplied
emailAddress        = optional

---------------------------------------------------------------------------------------------------------------------------
生成java的keystore,使用jdk提供的keytool工具, 最后生成的文件为.keystore
1.建立.keystore文件,需要填写证书信息,注意第一项是用户名,需要和达梦数据库用户名“SYSDBA”一致
keytool -genkey -keyalg RSA -alias client -keystore .keystore -storepass changeit -storetype jks
您的名字与姓氏是什么?
 [Unknown]:  SYSDBA
您的组织单位名称是什么?
 [Unknown]:  DAMENG
您的组织名称是什么?
 [Unknown]:  HUST
您所在的城市或区域名称是什么?
 [Unknown]:  WUHAN
您所在的州或省份名称是什么?
 [Unknown]:  HUBEI
该单位的两字母国家代码是什么
 [Unknown]:  CN
N=SYSDBA, OU=DAMENG, O=HUST, L=WUHAN, ST=HUBEI, C=CN 正确吗?
 [否]:  是

输入<client>的主密码
       (如果和 keystore 密码相同,按回车):
       
2. 得到证书请求文件client.csr
keytool -certreq -alias client -keyalg RSA -file client.csr -keystore .keystore

3. CA签署证书,生成 client.pem
openssl ca -keyfile ca/private/ca-key.pem -cert ca/ca-cert.pem -in client.csr -out client.pem -config openssl.cfg

4. 转换client.pem格式,生成 client.cer
openssl x509 -in client.pem -out client.cer

5. 导入CA证书到keystore
keytool -import -alias ca -trustcacerts -file ca-cert.pem -keystore .keystore

6. 导入用户的证书 client.cer到keystore
keytool -import -alias client -trustcacerts -file client.cer -keystore .keystore

wzyzzu
关注
专栏目录
Keystore2代码导读与深入解析
weixin_50547796的博客
08-28 128
Keystore2提供了生成、导入和导出密钥的功能,它支持对称密钥、非对称密钥和ECDSA密钥的生成和管理,密钥的生成和导入过程中,Keystore2会使用HSM来保护私钥的机密性。Keystore2支持证书生成和管理,它可以自动签名证书请求,生成自签名证书,也可以导入已经签名的证书,此外Keystore2还提供了证书链的管理功能,可用于构建信任链。中管理密钥和证书的工具,它提供了一种安全存储机制,可确保敏感信息的保密性和完整性,本文将对Keystore2的代码进行详细解读和探讨。
使用OpenSSL生成/签发证书的原理、流程与示例
热门推荐
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
OpenSSLKeyStore指令小集
永无止境,上下求索
02-05 1万+
前言 最近项目里面用到了SSL双向认证和传输加密的技术,研究了一下,想把相关的指令和代码分享出来,以期后来者能够少踩坑,顺利解决问题。我们的项目服务器是C,客户端为Java,CS架构,中间通过Socket通讯。 OpenSSL和Java KeyStore本质上没有关系,只是客户端用到Java,Java里面SSL认证加密的密码和证书需要存储到KeyStore这个容器里面,所以OpenSSL产生的
OPENSSLKeyStore
DavyJonesWang的专栏
11-09 5158
1、OpenSSL实践 工作中需要配置使用SSL来双向认证并通信的FTP服务器,以OpenSSL和Java的keytool为例,来完成证书的制作: d:/openssl/mkcerts>openssl genrsa -out ca.key 1024 创建CA私钥 Loading 'screen' into random state - done warning, not mu
openssl + keytool 生成keystore文件
Extra_warrior的博客
04-18 1355
运行条件:linux, 已安装openssl操作步骤:1. 获取证书内容 echo | openssl s_client -connect www.baidu.com:443该命令会打印出证书内容,复制证书内容:-----BEGIN CERTIFICATE----- 到 -----END CERTIFICATE-----2. 保存复制的内容到证书文件nano baidu.cer 生成并打开证...
OpenSSL 把cer证书链以及key文件生成keystore,tomcat https配置
小V的博客
06-21 1万+
OpenSSL 把cer证书链以及key文件生成keystore,tomcat https配置
openssl生成keystore证书
IT打工匠
12-16 1368
openssl genrsa -out /home/ca/rootkey.pem 2048 生成证书的密匙。 openssl req -x509 -new -key /home/ca/rootkey.pem -out /home/ca/root.crt 生成证书。注意-x509,与步骤4和7不同。需要输入机构相关信息。 openssl genrsa -out /home/ca/clientkey.pem 2048 生成客户端的密匙。 openssl req -new -key /home/ca/cli
java生成证书 包括openssl
12-05
Java 生成证书是指通过 Java 的 keytool 工具和 OpenSSL生成数字证书过程。在 HTTPS 环境下,证书是必不可少的组件, play a crucial role in ensuring the security and authenticity of online transactions....
使用java生成证书及其openssl获取公私钥
01-07
使用java生成证书及其openssl获取公私钥 使用java生成yangjie.jks证书, 即生成公私钥密码对 keytool -genkeypair -alias yangjie -keyalg RSA -keypass yangjie -keystore yangjie.jks -storepass yangjie keytool...
OpenSSL与KeyTool相关操作(二)生成keystore和key文件——Windows7_32版
cs02308的专栏
03-15 2307
一软件环境 openssl版本为openssl1.0.2g。 二操作步骤与命令 首先在openssl的安装目录下找到bin目录,并在bin目录下创建demoCA目录,并在demoCA目录下创建newcerts目录,在demoCA目录下创建空文件index.txt供openssl使用,此种方式使用的配置文件是openssl安装目录下的ssl目录下的openssl.cnf配置文件,即默认配置。也
通过秘密键/证明书/CA证明书生成keystore文件
04-08
NULL 博文链接:https://shoukii0721.iteye.com/blog/1585102
使用openssl创建ssl证书 并转换为keystore
Here I Am
09-23 2684
参考[url]http://blog.sina.com.cn/s/blog_4fd50c390101891c.html[/url] [url]http://www.blogjava.net/javabloger/archive/2008/04/17/193800.html[/url] [b]x509证书一般会用到三类文,key,csr,crt。[/b] Key 是私用密钥openssl格...
OpenSSLKeyStore指令集合
gtfaww的博客
06-29 1042
OpenSSLKeyStore指令集合 OpenSSLKeyStore指令集合 前言 指令列表 TrustKeyStore指令 前言 最近项目里面用到了SSL双向认证和传输加密的技术,研究了一下,想把相关的指令和代码分享出来,以期后来者能够少踩坑,顺利解决问题。我们的项目服务器是C,客户端为Java,CS架构,中间通过Socket通讯。 OpenSSL和Jav...
openssl生成.keystore 签名
拒绝背八股文
10-12 640
使用.pk8 和.pem签名生成.keystore 签名 ---------------------------------- 将 platform.pk8 和 platform.x509.pem 格式的系统签名转换为 mykey.keystore 格式 需要系统中有openssl 和 jdk,windows 版openssl 可以在http://slproweb.com/products/Win...
安全加密基础—基本概念、keytool、openssl_win11 openssl keytool
最新发布
2401_83739434的博客
04-16 393
我们打开转换后的pem文件,将其中-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----部分的内容复制到cert.pem中,把-----BEGIN PRIVATE KEY-----和-----END PRIVATE KEY-----部分的内容复制到pri_key.pem中。因此,当小明验证小红的证书时,会在系统里寻找能够解开小红证书的CA 公钥,若是找到则说明小明证书的颁发机构是可信任的,既然信任了该证书,那么从证书里取出的公钥,小明也认可是小红的。
Windows.OpenSSL生成ssl证书配置到nginx
qq_36577291的博客
01-07 2731
所谓的序列号是一个包含一个十六进制正整数的文件,在默认情况下,该文件的名称为输入的证书名称加上.srl后缀,比如输入的证书文件为ca.cer,那么指令会试图从ca.srl文件中获取序列号,可以自己创建一个ca.srl文件,也可以通过-CAcreateserial选项来生成一个序列号文件。-CAcreateserial: 表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀。根证书是用于证书签发的,证书的签发机构都有自己的根证书
安全加密基础—基本概念、keytool、openssl
01-02 1708
(1)本文不涉及源码、底层。只是讲解大概的密码演变过程和基本概念。能让接触到相关名词的人知道这些名词是干嘛的,为什么要有它。专业人士可以当作概念梳理,非专业人士可以当作科普。(2)本文你将了解到的概念:明文通信、无密钥密文通信、对称加密、非对称加密、信息摘要、数字签名、CA与数字证书、https、常用的密钥扩展名。(3)本文应用实践有:用java的Keytool生成密钥,keystore格式转pem,openssl生成私钥和证书
keystore提取私钥和证书
mobile payment development
07-19 319
keytool -genkey -alias test -keyalg RSA -keystore c:/key.store 生成keyStore RSA是一个既能用于数据加密也能用于数字签名的算法。 DSA(Digital Signature Algorithm,数字签名算法,用作数字签名标准的一部分),它是另一种公开密钥算法,它不能用作加密,只用作数字签名。DSA使用公开密钥,为接受者验...
OpenSSL命令指南:证书生成与双向认证配置
"该资源主要介绍了如何使用openssl命令来创建和管理SSL/TLS证书,包括根证书、服务器证书和客户端证书生成,并涉及到将证书打包为pkcs12格式以及制作keystore过程。" 在IT行业中,openssl命令是用于处理公钥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值