生成证书流程
先上一张图,这张图就是用openssl生成证书的整个流程了,如何看这个图呢?
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Zni606kq-1663939003658)(/media/202208/2022-08-26_094445_343002.png)]
这个图有A、B、C三个部分,分别用三种颜色框选了一下,A部分是CA机构根证书的生成过程,这个过程需要先生成CA机构的私钥,再由CA机构的私钥生成CA机构证书申请文件,然后再由这两个文件生成根证书。
B部分是生成服务器私钥,然后由服务器私钥生成服务器证书申请文件。
C部分是最后一部分,也就是生成服务器的公钥证书,服务器的公钥证书需要三部分一起来生成,A部分的CA机构的私钥,CA机构的申请证书文件,B部分的服务器证书申请文件,这三部分一起来生成服务器的公钥证书。
所谓JKS(Java Key Store)就是利用Java Keytool 工具生成的Keystore文件(文件后缀:*.jks *.keystore 或无后缀),JKS文件由公钥和私钥构成,其中的公钥就是我们所说的证书,即cer为后缀的文件,而私钥就是密钥,即以key为后缀的文件。可以通过Keytool结合Openssl提取jks文件的公钥和私钥。jks格式的证书主要使用与JAVA程序。
OpenSSL 可以生成自签证书 适用范围更广
keytool没办法签发证书,而openssl能够进行签发和证书链的管理
方式1 使用openssl 生成证书
生成 CA证书
- 生成CA机构的私钥
openssl genrsa -out ca.key 1024
- 生成CA机构自己的证书申请文件
openssl req -new -key ca.key -out ca.csr
- 生成自签名证书,CA机构用自己的私钥和证书申请文件生成自己签名的证书,俗称自签名证书,这里可以理解为根证书。
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
生成服务器证书
- 生成服务器私钥。
openssl genrsa -out server.key 1024
- 根据服务器私钥文件生成证书请求文件,这个文件中会包含申请人的一些信息,所以执行下面这行命令过程中需要用户在命令行输入一些用户信息。可以通过con name 绑定域名。
openssl req -new -key server.key -out server.csr
- 根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器的证书申请文件server.csr生成服务端证书。
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
上面的过程其实是模拟了各大https证书厂商生成https证书的过程,其中涉及到了根证书等等一些概念,如果你不是太明白也没有关系,我们还有B方案,我只想要证书,不想搞得太深,那么请使用如下方法,简便快捷。
只需要三步:
openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr
openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650
这样我们就拿到了私钥server.key和证书server.crt。
为什么第二种方式比第一种简单并且步骤还少呢?这里简单介绍一下,第一种方式是模拟https厂商生成https证书的简易过程,https证书厂商一般都会有一个根证书,这里我们模拟生成了https厂商根证书,也就是第一种方法的1、2、3步骤。
在实际应用中,这些步骤对用户来说是不可见的,这里只是简单模拟,通常证书申请用户只需要将服务器的公钥(注意不是私钥)和服务器证书申请文件交给https证书厂商即可,之后https厂商会通过邮件回复一个服务器公钥证书,拿到这个证书和自己生成的服务器私钥就可以搭建https应用了。
第二种方法比较简单,是因为我们自己生成证书在本地测试,我们既是https厂商的角色也是用户角色,我们直接用自签名证书当做服务器证书就可以了,简单快捷,不过这里只适用于测试。
openssl生成证书供java使用
java程序使用的证书是JKS格式,因此需要将openssl生成的证书进行格式转换。 crt证书转为p12(需要输入一个密码),需要使用到上面的 server.crt server.key
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
使用keytool把p12证书转为jsk格式
keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass changeit -alias cas -deststorepass changeit -destkeypass changeit -destkeystore server.jks
生成的server.jks 可以用于springboot项目 ,applicationg.properties 配置参考:
server.ssl.key-store=file:/etc/cas/server.jks
server.ssl.key-store-password=changeit
server.ssl.key-password=changeit
快捷方式 使用mkcert 生成证书
- 请在管理员模式下打开Powershell 安装mkcert
Set-ExecutionPolicy Bypass -Scope Process -Force; `
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072;`
iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))
choco install mkcert -y
- 生成证书
#创建一个用来保存证书文件的目录
mkdir -p .cert
#生成 RootCA
mkcert -install
#可以一次性为多个域名创建证书,这个非常强大
mkcert -key-file ./.cert/key.pem -cert-file ./.cert/cert.pem cvicse.com "*.cvicse.com" localhost 127.0.0.1 ::1
方式2 使用keytool 生成证书
1、生成证书
keytool -genkey -alias cas -keyalg RSA -keysize 1024 -keypass changeit -validity 3650 -keystore F:\etc\cas\thekeystore -storepass changeit
c) 2019 Microsoft Corporation。保留所有权利。
您的名字与姓氏是什么?
[Unknown]: sso.ks.com
您的组织单位名称是什么?
[Unknown]: sso.ks.com
您的组织名称是什么?
[Unknown]: sso.ks.com
您所在的城市或区域名称是什么?
[Unknown]: ks
您所在的省/市/自治区名称是什么?
[Unknown]: js
该单位的双字母国家/地区代码是什么?
[Unknown]: china
CN=sso.ks.com, OU=sso.ks.com, O=sso.ks.com, L=ks, ST=js, C=china是否正确?
[否]: y
Warning:
生成的证书 uses a 1024 位 RSA 密钥 which is considered a security risk. This key size will be disabled in a future update.
2、导出证书
keytool -export -alias cas -keystore F:\etc\cas\thekeystore -file F:\etc\cas\cas.crt -storepass changeit
3、把证书导入到证书信任库 使用管理员权限运行
keytool -import -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -file F:\etc\cas\cas.crt -alias cas-storepass changeit
如果你想查看证书信任库都有哪些证书,输入命令为:
keytool -list -alias cas-keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit
删除证书,输入命令为:
keytool -delete -alias cas -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit
4、修改tomcat的server.xml文件
直接新增,里面的证书路径和密码根据你自己的修改
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="F:\etc\cas\thekeystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"/>
5、到bin目录启动startup.bat,然后浏览器里输入https://sso.ks.com:8443/
从keystore中导出证书和私钥
导出证书一句话解决,可能需要输入密码。
- 导出证书
keytool -export -alias cas -keystore thekeystore -rfc -file cas.cert
导出私钥,一共分三步,中间需要输入密码。 jks文件中的私钥不能直接得到,需要通过openssl将jks文件转换成p12格式后再进行提取
2.导出私钥
2.1 得到pkcs12格式的证书
keytool -importkeystore -srckeystore thekeystore -destkeystore ck.p12 -deststoretype pkcs12
2.2 转化成pem格式的文件
openssl pkcs12 -in ck.p12 -nocerts -nodes -out cas.key
参考: https://www.jianshu.com/p/eb52e0f5ee85 https://blog.csdn.net/qq_20967969/article/details/123443776 https://blog.csdn.net/lu_wei_wei/article/details/111264842 https://www.jianshu.com/p/5cff7accfd78
|