Openssl + JDK keytool 证书制作

最新推荐文章于 2021-04-23 09:28:36 发布
最新推荐文章于 2021-04-23 09:28:36 发布
阅读量245 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhushidan/article/details/84014077
版权

1.创建CA的私钥 1.创建CA的私钥 
执行以下命令opensslgenrsa -des3 -out mykey/ca.key 1024   ( mykey/  当前目录下的mykey目录,事先要建立好)
接下来会提示你输入密码.


2.创建CA证书 (根证书)
openssl req -new -x509 -key mykey/ca.key -out mykey/ca.crt -days 365
x509是一种加密的标准,-out是指输出的文件路径,-key是指定私钥,也就是上一步生成的那个,-days是指证书有效期。
注:再输入commonname时你可以指定你自己的名字,但是不能输入你的服务器名(www.XX.X.com

 

3.创建server端的私钥 
因为咱们是要在server端提供SSLwebservice,所以在server端需要使用私钥库和信任库。
openssl genrsa -des3 -out  mykey/server.key1024

 

4.创建server证书签名请求 
我们可以发送签名请求到一个官方的CA机构,这些机构都是要收费的,而且还要严格审核,至于我们自己开发过程中的话实在是没必要。我们直接发送到我们刚才通过openssl构建的CA就可以了。
openssl req -new -key  mykey/server.key-out  mykey/server.csr
注意这里的commonname,此处填写你的服务器的ip或者域名,例如localhost,也就是你要为哪台服务器做证书就指定那台机器。

 

5.CA签署server证书 
如果是第一次通过CA签署证书的话,执行如下命令
openssl x509 -req -days 30 -in  mykey/server.csr-CA mykey/ca.crt -CAkey mykey/ca.key -CAcreateserial -out  mykey/server.crt
其中的-CAcreateserial是指创建一个新的序列文件。这样openssl会在当前目录下创建一个名为ca.srl的文件存储序列号(官方是这样说的,我本地产生的序列文件是.srl,搞不清怎么回事,可能是创建时没指定名字吧,不过不影响后面的操作)。下次再次签署证书时就可以直接指定这个序列文件了。命令如下:openssl x509 -req -days 30 -in  mykey/server.csr -CA mykey/ca.crt -CAkey mykey/ca.key-CAserial mykey/ca.srl -out  mykey/server.crt
输入CA私钥的密码后签署成功。

 

6.创建server端的pkcs12文件 
openssl pkcs12 -export -in  mykey/server.crt-inkey  mykey/server.key -out  mykey/server.p12 -name demo_server
注意其中的-namedemo_server,这个是指定keystore的别名,记下来,很重要哦(weblogic要用到)。

 

7.转换pkcs12JKS keystore文件 
这个过程需要用到jetty.jar,下载相应jar后添加到classpath),然后执行如下命令
java org.mortbay.util.PKCS12Import  mykey/server.p12 mykey/server.jks

如果不添加到classpath,则执行:

java -cp org.mortbay.jetty.jarorg.mortbay.util.PKCS12Import mykey/server.p12 mykey/server.jks
在此处输入上一步设置到export password

Server端相关文件就完成了,现在可以用javakeytool命令查看一下生成的server.jks的内容
keytool -v -list -keystore  mykey/server.jks
接下来开始准备client端的相关文件,如果serverclient相互认证,客户端的相关操作与server端类似,不做过多说明。

 

8.创建client端的私钥 
openssl req -new -newkey rsa:1024 -nodes  -out  mykey/client.req -keyout  mykey/client.key

 

9.创建client端证书签名请求 
openssl x509 -CA mykey/ca.crt -CAkey mykey/ca.key -CAserial mykey/ca.srl -req-in  mykey/client.req -out  mykey/client.pem -days 365

 

10.创建client端的pkcs12文件 
openssl pkcs12 -export -clcerts -in  mykey/client.pem -inkey  mykey/client.key -out  mykey/client.p12

 

11.创建client端的jks文件 
java org.mortbay.util.PKCS12Import  mykey/client.p12 mykey/client.jks

 

12.创建信任密钥库 
这次用到javakeytool命令
keytool -genkey -alias dummy -keyalg RSA -keystore  mykey/truststore.jks
到此为止数字证书的部分就完成了,下面介绍一下tomcat如何配置ssl支持。

 

13.CA认证过的证书导入信任库

keytool -import -v -trustcacerts-alias my_ca -file mykey/ca.crt -keystore  mykey/truststore.jks

通过下面的命令可以查看信任库的详细信息

keytool -v -list -keystore  mykey/truststore.jks


二、 tomcat ssl支持的配置 
1. tomcatserver.xml中添加一个新的connector,配置如下 

<Connector  port="8443" maxHttpHeaderSize="8192"  
SSLEnabled="true"
        maxThreads="150"  
        minSpareThreads="25"  
        maxSpareThreads="75"  
        enableLookups="false"  
        disableUploadTimeout="true"  
        acceptCount="100"  
        scheme="https"  
        secure="true"  
        clientAuth="false"  
        sslProtocol="TLS"  
        keystoreFile="/conf/server.jks"  
        keystorePass="XXXXXX"  
        algorithm="SunX509"  
     />
 
注: keystoreFile 对应 server 端的 jks 文件, keystorePass 对应其密码

2.  重启 tomcat ,在浏览器中敲入 https://localhost:8443/ 测试一下  

 

zhushidan
关注
java + keytool+openssl 实现批量生成客户端证书
06-07
使用Java实现根据ca购买到的根证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认证
KeyTool生成证书链及在java、c#中的运用
flyinmind的专栏
09-14 3734
SSL中用到证书,那么证书是什么?证书可以理解为一个包含了签发方信息、拥有者信息、公钥、由签发方私钥产生的签名等信息的文档,当然还包括其他一些信息。校验用户证书是否可信,实际上就是检验该证书是否由合法的机构签发的。校验时,通过该证书中的结构信息找到对应机构的证书,利用机构证书中的公钥去校验用户证书中的签名是否正确。从上述校验方法可以看出,证书是否可信,是由其签发方证书来校验的,而机构的证书是否可信,是由上一层机构的证书来校验的,如此就形成一条证书链,最顶层机构的证书的就是常说的根证书
详解HTTPS通信流程,使用JDKopenssl,XCA进行证书认证详细操作,Spring Boot配置SSL证书实操
weixin_45365220的博客
04-23 1603
这里写目录标题HTTPSSSL通信流程HTTPS一般使用的加密与HASH算法如下:1.JDKJDK中自带keytool工具便携生成SSL证书,其代码参数如下整合到spring boot项目的配置即可2.openssl通过openssl生成一个私钥通过openssl查看一个私钥的具体信息(这里以rsa加密的私钥为例)通过openssl 创建一个证书请求进行自签名证书请求3.XCA证书管理工具利用xca生成ca根证书,并产生证书链创建子证书(用ca证书进行签名)分别将根证书和子证书导出(子证书以p12格式导出)
使用jdk生成证书使用openssl来导出公钥信息
风水道人
08-14 753
--------------- 使用jdk生成证书证书里面有公钥私钥) ----------------- 1.生成密钥证书 下边命令生成密钥证书,采用RSA 算法每个证书包含公钥和私钥 keytool -genkeypair -alias beijingliupei -keyalg RSA -keypass beijingliupei -keystore beijingliupei.jks -storepass beijingliupei 2.Keytool 是一个java提供的证书管理工具 -ali.
Java中使用OpenSSL生成的RSA公私钥进行数据加解密
热门推荐
Slash Youth - Jack Chai
02-20 12万+
本文出处:http://blog.csdn.net/chaijunkun/article/details/7275632,转载请注明。由于本人不定期会整理相关博文,会对相应内容作出完善。因此强烈建议在原始出处查看此文。 RSA是什么:RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三...
CA.zip_certificates_openssl 证书_数字证书
09-24
KeytoolJava开发工具包(JDK)自带的一个命令行工具,主要用于管理密钥对和证书。通过Keytool,我们可以创建一个密钥库,其中可以存储私钥和对应的数字证书。以下是使用Keytool生成自签名证书的基本步骤: 1. ...
自签证书制作
07-24
通过openssl制作自签三级证书,即根证书、中间证书、和服务证书。 2.添加自签证书为可信证书 3.1 win添加自签证书为可信证书 3.2 centos添加自签证书为可信证书 3.3 JDK添加自签证书为可信证书 3.证书格式...
cas 自签名证书制作及应用 操作说明及相关配置
05-17
1、该文档执行的前提:windows、安装openssl工具、下载nginx服务器、安装jdk并配置环境变量 (压缩包 包括了openssl、nginx和相关的配置文件) 2、下载 openssl.cnf文件- 修改commonName、commonName_default、[alt_...
weblogic制作证书实现HTTPS
04-14
#### 三、制作证书 ##### 1. 创建私钥 使用OpenSSL命令行工具创建私钥: ```bash openssl genrsa -out D:\SSL\openssl\ca-key.pem 1024 ``` ##### 2. 创建证书请求 创建一个证书请求文件: ```bash openssl req -...
keystoke证书转换nginx证书工具
最新发布
05-18
`keytool`是Java Development Kit (JDK) 自带的一个命令行工具,用于管理密钥对和数字证书。 首先,我们需要理解SSL/TLS证书的基础知识。SSL(Secure Socket Layer)和其后续版本TLS(Transport Layer Security)是...
C#版 openssl使用文档
05-18
本节介绍一些必须事先了解的密码学知识和密码算法。密码算法都是公开的,保密应该依赖于密钥的保密,而不是算法的保密。 以C#版使用为主。
在linux下自动生成大量证书Shell(无其他工具版)
10-27
在C/S模型中,Server需要认证Client的证书,而每一个Client持有独一无二的证书(比如一个设备的MAC地址),此时需要的证书是一个CA,一个Server证书和大量的Client的证书,如果一个一个的生成,效率速度都非常的慢,下面的工具和shell scripts就是为了批量生成client证书。有包含OpenSSL linux相似的环境都行(Cygwin也行的哦!), 如果这个shell不满足你的需求可以试着改下code. 对了,忘了告诉大家了,你当前的目录里面一定要有个cert.cnf配置文件,自己手动生成的CA证书和CA key.
java生成证书 包括openssl
12-05
生成证书 通过keytoolopenssl,帮助在https环境下测试证书,但是此证书浏览器不认的
HTTPs 利用jdk openssl 生成所需证书
Zealot_Cat的博客
05-09 737
服务端: tomcat.keystore 【服务端证书库,记录受信任的客户端的证书】 tomcat.private.key 【服务端证书库的私钥,用openssl解密后,用在nginx中】 tomcat.private.key.nokey 【服务端证书库的私钥(已解密),用在nginx中】 tomcat.cer【服务端证书,需要导入到客户端的证书库中...
KeytoolOpenSSL生成和签发数字证书
rznice的专栏
09-25 1万+
在数字证书使用过程中,会遇到签发证书问题,一般来说,有3个解决方法:     1.交由受信任的第三方证书颁发机构签名;     2.自签名;     3.自制CA证书并用其签名。     对于上线运营的网站来说,第一个方案是首选,因为只有这样浏览器才不会报警。过去买证书很贵,现在倒是有免费的了,比如IE和Firefox都支持的StartSSL。     不同的证书颁发机构对于证书生成多少
openssljdk配置toncat证书
zj0078的专栏
02-26 1154
前言      项目需要在tomcat中配置ssl认证,学习了一下怎么配置,由于对pki认证体系、证书制作和发放过程不了解,整个配置过程坎坷,所以配置成功后立即记录下来希望以后遇到类似的情况有所参考。 本文讲述了如何使用 openssl 制作证书keytool生成证书申请并将证书导入证书库、如何配置tomcat,和配置当中出现问题的解释。     本文用到的工具:OpenSSL.rar
KeytoolOpenSSL生成和签发数字证书
Cswe_N
07-14 6866
 根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。  CA完成签发证书后,会将证书发布在CA的证书库(目...
数字证书生成与签发指南:KeytoolOpenSSL
KeytoolJava开发工具包(JDK)中用于管理密钥和证书的实用程序,支持密钥库(keystore)的管理。而OpenSSL是一个开源的软件包,提供了强大的加密算法和工具,用于处理SSL协议,管理证书和密钥。 使用Keytool生成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值