openssl 生成私鑰、申請文件,證書導入說明
1.生成私鑰
openssl genrsa -out serverkey.key 1024/2048 這樣生成的私鑰不帶密碼(以后生成密鑰庫后,要將密碼改成和密鑰庫密碼相同)
openssl genrsa -des3 -out serverkey.key 1024/2048 這樣生成的帶密碼(密碼必須和以后生成的密鑰庫密碼相同)
2.生成申請文件
openssl req -new -key serverkey.key -out cert.csr
需要用到第一步生成的私鑰文件serverkey.key 根據提示填寫各種信息(有的CA機構可能某些字段值有要求,那就要根據CA機構的要求填)
3.將申請文件提交到CA認證機構申請證書
4.生成CA證書鏈(如果CA機構提供的是CA證書鏈)
rootca.cer 、childca.cer 兩個CA證書
server.cer CA機構辦法給我們的證書
openssl x509 -in rootca.cer -text -noout
openssl x509 -in childca.cer -text -noout
openssl x509 -in server.cer -text -noout
先查看下這樣是否能查看證書的信息,如果報錯則需要將所給的證書轉換為.pem格式
openssl x509 -in rootca.cer -inform DER -out rootca.pem -outform PEM
openssl x509 -in childca.cer -inform DER -out childca.pem -outform PEM
openssl x509 -in server.cer -inform DER -out server.pem -outform PEM
cp childca.pem chain.pem 復制childca.pem到chain.pem
cat rootca.pem >> chain.pem 合並證書(下一步要用到)
openssl verify -CAfile chain.pem server.pem 驗證證書鏈 (若顯示Verify OK,表示驗證證書鏈成功)
5.轉換用戶證書為PKCS12
openssl pkcs12 -export -in server.pem -inkey serverkey.key -out server.pfx -CAfile chain.pem
6.用portecle將PKCS12格式證書導入到jks密鑰庫
打開server.pfx之后轉換成jks(case sensitive)此格式可以改私鑰的密碼。
右鍵可以重命名別名,設置密碼(必須和jks密碼相同)
設置jks密碼(必須和密鑰設置密碼相同)
另存為jks的文件
7.用portecle將CA證書導入信任庫
新建keystore
先導入對方CA證書(如果是多級CA,先導入根CA,依此類推)、再導入需要通訊認證的對方證書,設置jks密碼,另存為jks格式文件