前提条件:在运行的机器上安装openssl软件。
准备工作
1、建立某个ca根目录,用来进行ca证书的管理(例如:/test/ca)。
2、在cs根目录下建立如下文件夹: newcerts、private,其中newcerts用于存放新生成的证书(openssl 自动管理),private用于存放自己的ca根证书的私钥。
3、将openssl目录中的openssl.cnf文件复制到该目录下,并将[ CA_default ]下的dir修改为第1步中的ca根目录/test/ca
4、在cs根目录下建立文件:空白文件index.txt、带有内容为01的文件serial,建立好后的文件夹格式如下:
开始制作证书:
1、使用命令OpenSSL req -new -x509 -days 18900 -sha1 -newkey rsa:1024 -keyout /test/ca/private/ca.key -out /test/ca/ca.crt
该命令后会在ca根目录下生成根证书的公钥文件ca.crt,在privatre目录下生成根证书的私钥文件ca.key。
2、使用keytool生成tomcat的服务器端证书文件:/test/.keystore
keytool -genkey -validity 3650 -keyalg RSA -keysize 1024 -keystore /test/.keystore,注意在这里生成证书时,使用的省市县等信息要生成根证书的信息保持一致,否则在后续使用根证书签名时,会出现如下的错误信息:
3、从tomcat的服务器证书文件中导出签名请求的证书文件/test/req.csr:
keytool -certreq -sigalg MD5withRSA -file /test/req.csr -keystore /test/.keystore
4、使用openssl命令,用第1步中生成的根证书公、私钥文件对req.csr证书文件进行自签名,并生成自签名后的证书文件/test/tomcat_server.crt:
openssl ca -in /test/req.csr -out /test/tomcat_server.crt -notext -cert /test/ca/ca.crt -keyfile /test/ca/private/ca.key -config /test/ca/openssl.cnf
5、将根证书公钥文件/test/ca/ca.crt导入到tomcat服务器证书文件中:
keytool -import -v -trustcacerts -alias root -file /test/ca/ca.crt -keystore /test/.keystore,注意:导入时,需要给该证书指定与第2步中生成的证书文件不一样的别名,不然会导入不了。
6、将签名后的证书文件/test/tomcat_server.crt导入到tomcat服务器证书文件中:
keytool -import -v -file /test/tomcat_server.crt -keystore /test/.keystore,注意:导入时,使用的别名必须要与第2步中生成证书文件的别名一致。
OK,至此,我们可以使用keytool命令查看该tomcat证书文件:keytool -v -list /test/.keystore,可以看到我们使用别名为mykey的证书已经被别名为root的证书证证了。
------------openssl----加解密-----------
openssl 对称加解密
openssl 非对称加解密1
openssl 非对称加解密2(验证)