Tips:
- 此处需要注意:MD5和SHA1的签名算法已经不安全;
- 如果Tomcat所在服务器的域名不是“localhost”时,浏览器会弹出警告窗口,提示用户证书与所在域不匹配。服务器证书 dname的 CN应改为对应的域名,如“www.github.com”;在本地做开发测试时,CN应填入“localhost”;客户端证书 dname的 CN可以是任意值,且不用使用 -ext扩展。
创建证书栗子#
- 生成服务器证书
- keytool -genkey -alias server -keyalg RSA -keypass 123456 -keystore ~/ssl/tomcat.jks [-storetype JKS] -storepass 123456 -validity 3650 -dname "CN=localhost" -ext SAN=ip:127.0.0.1
- 生成客户端证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12(客户端的CN可以是任意值)
- keytool -genkey -alias client -keyalg RSA -keypass 123456 -keystore ~/ssl/client.p12 -storetype PKCS12 -storepass 123456 -validity 3650 -dname "CN=client"
导出证书信息#
此证书文件不包含私钥;分为自签名证书和认证证书,下面分别介绍了两中证书的生成方式
- 认证证书与导出的服务器自签名证书作用一致,使用时取其中一种证书即可。两者主要区别为是否经证书机构认证;
- 使用自签名证书则无需生成证书签名请求(CSR),使用认证证书则无需导出服务器自签名证书;
- 大部分认证证书都是收费的;
导出自签名证书#
自签名证书没有经过证书认证机构进行认证,但并不影响使用,我们可以使用相应的命令对证书进行导出;
- Usage:
- keytool -export -alias -keystore
-storepass -file [-rfc] - Options:
- -export 执行证书导出操作(exportcert 简写) -alias 密钥库中的证书条目别名(jks里可以存储多对公私钥文件,通过别名指定导出的公钥证书) -keystore 指定密钥库文件 -storepass 密钥库口令 -file 导出文件的输出路径 -rfc 使用Base64格式输出(输出pem编码格式的证书,文本格式),不适用则导出的证书为DER编码格式
导出证书栗子
- 导出服务器证书
- 此处为服务器的自签名证书导出, 如果需要使用认证证书,则生成证书签名请求
- keytool -export -alias server -keystore ~/ssl/tomcat.jks -storepass 123456 -file ~/ssl/server.cer
- 导出客户端证书
- 双向认证: 服务端信任客户端,由于不能直接将PKCS12格式的证书库导入,所以必须先把客户端证书导出为一个单独的CER文件
- keytool -export -alias client -keystore ~/ssl/client.p12 -storepass 123456 -file ~/ssl/client.cer -rfc
