Openssl+Keytool自签发证书

矫情吗；* 2022-08-02 11:52 230阅读 0赞

# Openssl+Keytool自签发证书 #

以下以生成一个别名（alias）为jetty，根证书为ca.crt,授权证书为server.crt为例。

## Keytool生成自签发证书 ##

keytool -genkey -alias jetty -keyalg RSA -keystore my_keystore

经过以上操作，在产生的my\_keystore中包含了一个自签发的证书和其密钥。用my\_keystore即可在服务器端和客户端之间进行https协议交互。

## Keytool和Openssl产生受信任的证书 ##

### Openssl生成CA的自签发证书 ###

openssl req -new -x509 -keyout ca.key -out ca.crt

> 在生成在生产环境中需要使用的根证书时，所有选项务必认真填写

### 生成由CA签发的证书 ###

#### 准备工作 ####

1.在CA证书坐在目录中新建目录demoCA、demoCA/newcerts

mkdir -p demoCA/newcerts

2.在demoCA中建立一个空文件

touch demoCA/index.txt

3.在demoCA中建立一个文本文件serial, 并在其中输入’01’

echo '01' > demoCA/serial

#### 步骤 ####

要生成一个CA签发的证书之前1之前，需要产生一个交给CA签发的生成证书签名请求csr。这个需要用前面生成的keystore来生成，然后交给CA签名。具体步骤为：

1.生成KeyPair密钥对

keytool -genkey -alias <cert_alias> -keyalg RSA -keystore

> 请注意其中的CN域（common name）要和服务器域名保持一致

2.生成证书签名请求

keytool certreq -alias jetty -file server.csr -validity 3650 -keyalg RSA -keystore my_keystore

其中的validity为证书要有效期

3.用CA私钥进行签名，或者到权威机构申请CA签名

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -notext -policy policy_anything

> **以上步骤的参数可以视情况而定，但请注意，第3步中的-policy policy\_anything需要加上，否则会因为CA中一些选项的编码和server.csr中一些编码不同而无法签发证书**

以上生成的证书就可以用于服务器的身份验证，如果是jetty搭建服务器，需要将生成的证书导入到keystore。

导入证书到keystore：  
1.导入信任的CA分证书到keystore

keytool -import -v trustcacerts -alias ca -file ca.crt -keystore my_keystore

2.导入签名后的server证书到keystore

keytool -import -v trustcacerts -alias server -file server.crt -keystore my_keystore

如果要在浏览器中访问自己的服务器，在浏览器中将ca.crt添加到“受信任的根证书颁发机构”就不会再收到浏览器的安全警告了！^\_^

--------------------

1.  CA可以是一个目前受信任的根证书颁发机构，也可以是我们自己制造的一个根证书颁发机构 ↩

发表评论取消回复

表情：

评论列表（有 0 条评论，230人围观）

还没有评论，来说两句吧...

相关阅读

相关 linux自建CA及签发商户证书

1. 建立CA 生成RSA密钥对 openssl genrsa -out ca.key 2048 生成ca crt： op

迷南。/ 2022年12月09日 03:10/ 0 赞/ 229 阅读

相关如何建立利用根证书（凭证）签发建立中继证书（凭证）详解

建立中继证书在建立中继之前需要自建根证书建立根证书的具体步骤 1、建立一个目录存放所有中继资料 2、进入中继目录，建立相关的文件

柔情只为你懂/ 2022年12月01日 01:23/ 0 赞/ 325 阅读

相关 iOS此证书的签发者无效

1，进入这个链接下载，[https://developer.apple.com/certificationauthority/AppleWWDRCA.cer][https_de

本是古典何须时尚/ 2022年09月25日 01:18/ 0 赞/ 166 阅读

相关 Openssl+Keytool自签发证书

Openssl+Keytool自签发证书以下以生成一个别名（alias）为jetty，根证书为ca.crt,授权证书为server.crt为例。 Keytool生成

矫情吗；*/ 2022年08月02日 11:52/ 0 赞/ 231 阅读

相关 linux下运用Openssl签发证书详解

首先需要安装openssl。 openssl的配置文件是openssl.cnf，我们一般就是用默认配置就可以。如果证书有特殊要求的话，可以修改配置适应需求。这样必须把相关的文

╰半夏微凉°/ 2022年05月22日 02:29/ 0 赞/ 244 阅读

相关自建CA与签发证书

CA 简介在加密中，证书颁发机构或证书颁发机构（CA）是颁发数字证书的实体。数字证书通过证书的指定主题来证明公钥的所有权。这允许其他人（依赖方）依赖签名或关于与经

曾经终败给现在/ 2022年05月17日 09:42/ 0 赞/ 355 阅读

相关使用acme.sh签发数字证书的疑问

有幸拜读了博主的[《使用acme.sh与阿里云DNS签发Let’s Encrypt的免费数字证书》][acme.sh_DNS_Let_s Encrypt]一文，按着步骤做，但本

以你之姓@/ 2022年04月27日 16:26/ 0 赞/ 373 阅读

相关 ROOT证书、CA证书和使用CA签发的X.509证书

简介日常开发中，我们程序员不怎么会接触证书相关的问题，对信息安全领域相关的内容知之甚少。因为平时主要实现的业务很少要直接面向底层的通信，也就很少关注这证书这样的知识。在一

淡淡的烟草味﹌/ 2022年04月16日 02:21/ 0 赞/ 1438 阅读

相关 OpenSSL自建CA和签发二级CA及颁发SSL证书

自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后，就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发

短命女/ 2022年03月31日 09:36/ 0 赞/ 964 阅读

相关如何用keytool工具导入私有密钥和自签发证书？

开发时我们常常使用JDK自带的keytool工具来创建自签发的证书，并保存到密钥库文件中。如果要把一个密钥库导入到另一个密钥库（比如到另一台机器上安装，同时又不想用覆盖文件的方

怼烎@/ 2021年12月01日 11:34/ 0 赞/ 974 阅读