使用openssl生成包含证书链的java用jks证书

1.生成CA证书和私钥

如果你准备使用公共CA则不需要这一步,但是如果这个证书只是在我们自己的服务端和客户端之间使用则只需要使用自己的CA

使用openssl之前先要在当前目录下准备一个临时目录结构,如下结构

 --demoA/  
 |-- index.txt      <-- 初始为空白内容
 |-- serial         <-- 初始内容可以设置为01
 |-- newcerts/      <-- 空文件夹
 |-- private/       <-- 貌似可以不存在

创建CA私钥

openssl genrsa -out ca.key 2048

创建CA证书

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=NetEase/OU=CA Test"

2.生成服务器证书签署请求和私钥

创建服务器私钥

openssl genrsa -out server.key 2048

创建服务器证书签署请求CSR

openssl req -new -days 365 -key server.key -out server.csr -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=NetEase/OU=XX Server/CN=xxx.yyy.com"

3.使用自己的CA进行签署证书

openssl ca -in server.csr -out server.crt -cert ca.crt  -keyfile ca.key

需要输入2次确认的y

4.合并证书

使用文本工具打开server.crt文件,可以看到内容有2部分组成,第一部分是Certificate开头的描述内容,第二部分是-----BEGIN CERTIFICATE-----开始的签名内容,我们把ca.crt的内容覆盖掉描述内容,让文件成为2个签名块,就可以看到

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

5.转换为pkcs12格式

openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

需要输入一个密码

6.转换为jks格式

keytool -importkeystore -srckeystore server.p12 -destkeystore server.jks -srcstoretype pkcs12 -deststoretype jks

keytool是jdk的工具,安装好jdk可以找到

然后我们可以验证下jks是否包含了完整的证书链

keytool -list -v -keystore server.jks

我们可以看到如下信息

别名名称: 1
创建日期: 2015-5-28
项类型: PrivateKeyEntry
认证链长度: 2
认证 [1]:
所有者:CN=xxx.yyy.com, OU=XX Server, O=NetEase, ST=ZheJiang, C=CN
签发人:OU=CA Test, O=NetEase, L=HangZhou, ST=ZheJiang, C=CN
序列号:1
有效期: Thu May 28 14:35:55 CST 2015 至Fri May 27 14:35:55 CST 2016

  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值