JDK自带工具keytool生成ssl证书
更新时间:2024-04-13 18:57:01 阅读量: 综合文库 文档下载
- jdk自带工具类推荐度:
- 相关推荐
JDK自带工具keytool生成ssl证书
前言:
因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。
百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具:keytool,外加看了同事的心得体会,自己总结了一下具体的使用方法和使用过程中发现的问题及解决办法。
1:什么是HTTPS?
HTTPS其实是有两部分组成:HTTP + SSL / TLS,
也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。 问题:
Firebug和postman之类的浏览器调试工具,为什么获取到的是明文? 解答:
SSL是对传输的数据进行加密,针对的是传输过程的安全。 firebug之类的浏览器调试工具,
因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。
2:什么是自签名证书?
就是自己生成的证书,并不是官方生成的证书。
除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。
3:进入正题,使用JDK自带工具KeyTool 生成自签发证书! 第一步:为服务器生成证书
打开CMD命令行工具,cd到C盘根目录或者是jdk的bin目录下,如下图所示:
附录1:常用keytool命令
使用keytool命令生成证书: keytool -genkey
-alias tomcat(别名)
-keypass 123456(别名密码) -keyalg RSA(算法)
-keysize 1024(密钥长度)
-validity 365(有效期,天单位)
-keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称) -storepass 123456(获取keystore信息的密码)
方便复制版:
keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365-keystore D:/keys/tomcat.keystore -storepass 123456 图例:
回车执行后如下图:
点击回车即可在D:/keys/文件夹内生成名为:tomcat.keystore的文件。
成功后无提示信息 注意:
①D:/keys/ 目录需要提前手动创建好,否则会生成失败 ②提示输入域名的时候不能输入IP地址
问题①的错误信息如下:
第二步:为客户端生成证书
为浏览器生成证书,以便让服务器来验证它。
为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12, 因此,使用如下命令生成: keytool -genkey -alias client -keypass 123456 -keyalg RSA
-storetype PKCS12 -keypass 123456 -storepass 123456
-keystore D:/keys/client.p12
方便复制版:
keytool -genkey -alias client1 -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client1.p12 -storepass 123456 图例:
第二步余下操作步骤同第一步。
第三步:让服务器信任客户端证书
1、
由于不能直接将PKCS12格式的证书库导入,
必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
注意: Keypass:指定CER文件的密码,但会被忽略,而要求重新输入 2、
将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor e -storepass 123456 图例:
完成之后通过list命令查看服务器的证书库,
可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书: keytool -list -v -keystore D:/keys/tomcat.keystore
第四步:让客户端信任服务器证书
1、
由于是双向SSL认证,客户端也要验证服务器证书,
因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。 由于不能直接将keystore格式的证书库导入,
必须先把服务器证书导出为一个单独的CER文件,使用如下命令:
keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat6 -file D:/keys/server.cer 2、
双击server.cer文件,按照提示安装证书, 将证书填入到“受信任的根证书颁发机构”。 填入方法:
打开浏览器 - 工具 - internet选项-内容- 证书-把中级证书颁发机构里的www.localhost.com(该名称即时你前面生成证书时填写的名字与姓氏)证书导出来-再把导出来的证书导入 受信任的根颁发机构 就OK了。
第五步:配置Tomcat服务器
protocol=\maxThreads=\ scheme=\secure=\clientAuth=\sslProtocol=\ keystoreFile=\keystorePass=\ truststoreFile=\truststorePass=\ 属性说明: clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证 keystoreFile:服务器证书文件路径 keystorePass:服务器证书密码 truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书 truststorePass:根证书密码 注意: ① 设置clientAuth属性为True时,需要手动导入客户端证书才能访问。 ② 要访问https请求 需要访问8443端口,访问http请求则访问Tomcat默认端口(你自己设置的端口,默认8080)即可。 总结: 经过以上五步,你使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。 通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。 小贴士: 强制 https 访问 在 tomcat /conf/web.xml 中的 后面加上这 1. 2. 3. CLIENT-CERT 4. 6. 7. 8. 9. 13. CONFIDENTIAL 14. 15. 完成以上步骤后,在浏览器中输入http的访问地址也会自动转换为https了。 附录1: keytool常用命令 -alias 产生别名 -keystore 指定密钥库的名称(就像数据库一样的证书库,可以有很多个证书,cacerts这个文件是jre自带的, 你也可以使用其它文件名字,如果没有这个文件名字,它会创建这样一个) -storepass 指定密钥库的密码 -keypass 指定别名条目的密码 -list 显示密钥库中的证书信息 -v 显示密钥库中的证书详细信息 -export 将别名指定的证书导出到文件 -file 参数指定导出到文件的文件名 -delete 删除密钥库中某条目 -import 将已签名数字证书导入密钥库 -keypasswd 修改密钥库中指定条目口令 -dname 指定证书拥有者信息 -keyalg 指定密钥的算法 -validity 指定创建的证书有效期多少天 -keysize 指定密钥长度 使用说明: 导入一个证书命令可以如下: keytool -import -keystore cacerts -storepass 666666 -keypass 888888 -alias alibabacert -file C:\\alibabajava\\cert\\test_root.cer 其中-keystore cacerts中的cacerts是jre中默认的证书库名字,也可以使用其它名字 -storepass 666666中的666666是这个证书库的密码 -keypass 888888中的888888是这个特定证书的密码 -alias alibabacert中的alibabacert是你导入证书的别名,在其它操作命令中就可以使用它 -file C:\\alibabajava\\cert\\test_root.cer中的文件路径就是要导入证书的路径 浏览证书库里面的证书信息,可以使用如下命令: keytool -list -v -alias alibabacert -keystore cacerts -storepass 666666 要删除证书库里面的某个证书,可以使用如下命令: keytool -delete -alias alibabacert -keystore cacerts -storepass 666666 要导出证书库里面的某个证书,可以使用如下命令: keytool -export -keystore cacerts -storepass 666666 -alias alibabacert -file F:\\alibabacert_root.cer 要修改某个证书的密码(注意:有些数字认证没有私有密码,只有公匙,这种情况此命令无效) 这个是交互式的,在输入命令后,会要求你输入密码 keytool -keypasswd -alias alibabacert -keystore cacerts 这个不是交互式的,输入命令后直接更改 Keytool -keypasswd -alias alibabacert -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts 撰写日期:2016年02月18日 撰写人:张之彬
正在阅读:
晒晒各国的社会福利03-15
宽带路由器故障巧排除107-27
信号完整性11-05
研制轮对自动测量机 - 图文03-01
长津湖观后感参考范文06-01
2011年上半年12336国土资源违法违规线索和信访受理情况04-23
湖南xx制药股份有限公司(20120618)设计方案01-08
35KV架空线路安全技术交底 - 图文05-14
- 人教新课标必修4 Unit2 Working the land名师导航
- 毕业生“校漂族”大行其道 - 0
- 江苏各市中考作文题出炉 - 0
- 暑期精品班 - 三角形 - 图文
- 情人节送什么礼物好??超强礼物已抵达
- 工程项目管理制度1
- 第四次业务学习 2016
- 会计要素与会计科目
- 欠发达地区小企业会计准则运用问题研究
- 一级锅炉水G4题库
- BBD双进双出筒式磨煤机安装使用说明书 SM-1
- 初一数学有理数教案
- 渝北区房地产评估市场调研报告
- iWebMall 数据字典
- 2018年小学入学教育工作计划
- 计量专业实务与案例分析 - 模拟题三 - 2013年版
- 启示录讲义
- 路基灰土改良(方案)
- 人行反洗钱岗位准入培训测试题集
- 2015电大《学前儿童发展心理学》期末试题及答案
- 自带
- 生成
- 证书
- keytool
- 工具
- JDK
- ssl
- 大学物理学2总复习
- 小学二年级奥数题及答案(60道)
- 敕修百丈清规
- 2010届中考英语名词考点集汇
- 概率与统计习题与答案
- 镇村《村规民约》工作总结
- 中外银行信贷管理比较跟启示
- 请求权、抗辩权基础备考表分家析产、民间借贷、委托合同(二)是
- 2013年高三化学二轮专题复习之40个常考问题剖析第10讲 非金属元
- 从另一个角度去感悟、观察、思考
- 纪检监察调研报告:增强派驻工作活力,提升派驻监督实效
- 中国雷尼镍行业市场前景分析预测报告(目录) - 图文
- 宜都市松宜煤矿国有工矿棚户区改造项目建设用地压覆矿产资源调查
- 民营经济发展典型材料
- 人教版二年级数学应用题训练(解决问题100题过关)
- 大学生非理性消费的心理成因
- 医疗废物培训计划
- 派遣就业信息收集系统学生使用手册--学生
- 师生健康档案
- 第三章 压电式传感器 - 改