标签:tool 苹果 配置 too windows keytool int article cat
前提:
安装好openssl工具。
通过windows cmd 命令进入 openssl工作文件夹
如解压文件夹为:E:\ openssl-1.0.2-beta1
则工作文件夹为E:\openssl-1.0.2-beta1\inc32\out32dll
通过cmd >cd /d E:\openssl-1.0.2-beta1\inc32\out32dll
建立证书存放文件夹:E:\ssl
以下是使用opensll实现CA并签发证书的过程:
1) 生成CA密钥CA作为一个权威机构,他本身也是使用证书来标识自己。CA本身也拥有私钥。
在签发数字证书的过程中,CA的私钥主要用于加密用户证书请求中的用户信息及公钥。
Opensslgenrsa -out E:\ssl\cakey.pem 1024
该命令会产生长度为1024字节的私钥文件cakey.pem。
2) 生成CA证书请求
Opensslreq -new -out E:\ssl\careq.csr -key E:\ssl\cakey.pem -configE:\openssl-1.0.2-beta1\apps\openssl.cnf
注意:openssl.cnf文件请在openssl-1.0.2-beta1文件夹下搜索。填写详细的文件夹
输入项说明:
AU:国家代码CN代表中国
Some-State:地区BJ 自己定义北京(此处输入要于下方1)生成初始密钥库一致)
Eg,city:城市BJ 自己定义北京(同上要于下方1)生成初始密钥库一致)
Internet Widgits Pty Ltd:机构名称 cebbbak 自己定义光大 (同上要于下方1)生成初始密钥库一致)
机构名称cebbank自己定义光大 (同上要于下方1)生成初始密钥库一致)
网址或者 IP (同上要于下方1)生成初始密钥库一致)
下面项能够为空:
此命令会依据cakey.pem产生该证书的请求文件careq.csr。
3)用CA私钥自签名
Opensslx509 -req -in E:\ssl\careq.csr -out E:\ssl\cacert.pem -signkey E:\ssl\cakey.pem -days 3650
说明:-days 指定证书有效期 10年自己定义
该命令会依据输入的证书请求及CA私钥,生成CA证书。至此,作为CA所要求的证书已经准备好。所得到的cakey.pem可用于将来颁发证书。而cacert.pem证书作为用户的可信任证书,须要分发给每个由该CA机构颁发证书的实体。
server证书与client证书的制作server证书与client证书的制作稍有不同,这是因为server对证书格式与client证书格式要求不同导致的。
对于Tomcat或Weblogic这种server,通常都要求一种JKS格式的文件,在该文件里,保存有server私钥、server证书以及server根证书链(从RootCA一直到server证书颁发机构的一系列CA证书列表)。
server证书要制作这一类证书,须要使用JDK提供的一个工具keytool。
说明:此处须要切换到JDK工作环境:
如本地为:D:\ProgramFiles\Java\jdk1.6.0_24\bin
运行CDM >cd /d D:\ProgramFiles\Java\jdk1.6.0_24\bin
以下是使用keytool制作证书库的过程:
1)生成初始密钥库
keytool-genkey -alias serveralias -keyalg RSA -keysize 1024 -dname "cn=10.192.109.227,ou=cebbank, o=cebbank,l=BJ, st=BJ, c=CN" -keypass password -keystore E:\ssl\server.jks-storepass password -validity 7300
当中 –dname 中的參数说明:cn:server域名或者IP,ou:所属机构。o:所属单位。l:地区,st:地区,c:国家代码 ,keypass:password ,storepass:password
2) 生成证书请求
keytool-certreq -alias serveralias -sigalg MD5withRSA -file E:/ssl/server.csr-keystore E:/ssl/server.jks -keypass password -storepass password
最后生成的证书请求文件为server.csr。
把该请求发送给证书颁发机构,该机构将会验证证书请求中的实体信息。然后实现签证。
由于我们是自己做CA。所以签证这一步也是我们自己来做。
3) 实现签证签证仍然使用openssl,而不是keytool。
在openssl中。输入下面命令:
切换为:openssl文件夹
运行下面命令:
opensslx509 -req -in E:/ssl/server.csr -out E:/ssl/servercert.pem -CAE:/ssl/cacert.pem -CAkey E:/ssl/cakey.pem -CAcreateserial -days 3650
输出的servercert.pem文件即是签证后的证书,即证书请求响应。
命令中用到的cakey.pem
和cacert.pem是上面生成的CA密钥文件和CA根证书。
完毕CA签证后,把证书请求响应连同CA根证书一起返回给申请者。申请者须要把CA根证书( 链)及证书请求响应导入到
JKS库中。此时使用的工具是keytool。
切换为:JDK文件夹
运行下面命令:
Keytool-import -trustcacerts -keystore E:/ssl/server.jks -file E:/ssl/cacert.pem-alias RootCAkeytool
再运行下列命令:
keytool-import -trustcacerts -keystore E:/ssl/server.jks -file E:/ssl/servercert.pem-alias serveralias
注意serveralias名称在配置weblogic实用到,详细配置weblogic ssl请參考百度
须要注意的是。首先导入CA根证书(链),最后才导入证书请求响应,并且导入证书请求响应时的别名必须与生成JKS库时使用的别名一致。至此,server端的JKS文件已经完毕,能够配置到对应的server中。
注意:在weblogic server上jdk须要支持rsa算法的像有些JDK不支持,最好使用weblogic自带的。
标签:tool 苹果 配置 too windows keytool int article cat
原文地址:http://www.cnblogs.com/claireyuancy/p/7236316.html