前言
jdk 1.8OS:redhat 7.0linux 命令的换行符为\
。window 命令的换行符为^
。本文中的命令在 redhat 上进行的测试。如果使用windows时,将下面的命令中的\
替换为^
。使用Keytool工具生成证书及签名完整步骤
创建证书库(keystore)及证书(Certificate)生成证书签名请求(CSR)将已签名的证书导入证书库下面以为”“域名制作数字证书为例进行操作。
创建证书库(keystore)及证书(Certificate)
命令如下:
keytool -genkeypair \-alias \-keyalg RSA \-keysize 4096 \-keypass mypassword \-sigalg SHA256withRSA \-dname "cn=,ou=xxx,o=xxx,l=Beijing,st=Beijing,c=CN" \-validity 3650 \-keystore _keystore.jks \-storetype JKS \-storepass mypassword
解释:
keytool 是jdk提供的工具,该工具名为”keytool“-alias 此处”“为别名,可以是任意字符,只要不提示错误即可。因一个证书库中可以存放多个证书,通过别名标识证书。-keyalg RSA 此处”RSA“为密钥的算法。可以选择的密钥算法有:RSA、DSA、EC。–keysize 4096 此处”4096“为密钥长度。keysize与keyalg默认对应关系:
2048 (when using -genkeypair and -keyalg is “RSA”)
1024 (when using -genkeypair and -keyalg is “DSA”)
256 (when using -genkeypair and -keyalg is “EC”)-keypass mypassword 此处”mypassword “为本条目的密码(私钥的密码)。最好与storepass一致。-sigalg SHA256withRSA 此处”SHA256withRSA“为签名算法。keyalg=RSA时,签名算法有:MD5withRSA、SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA。keyalg=DSA时,签名算法有:SHA1withDSA、SHA256withDSA。此处需要注意:MD5和SHA1的签名算法已经不安全。-dname “cn=,ou=xxx,o=xxx,l=Beijing,st=Beijing,c=CN” 在此填写证书信息。“CN=名字与姓氏/域名,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”-validity 3650 此处”3650“为证书有效期天数。-keystore _keystore.jks 此处”_keystore.jks“为密钥库的名称。此处也给出绝对路径。默认在当前目录创建证书库。-storetype JKS 此处”JKS “为证书库类型。可用的证书库类型为:JKS、PKCS12等。jdk9以前,默认为JKS。自jdk9开始,默认为PKCS12。-storepass mypassword 此处”mypassword “为证书库密码(私钥的密码)。最好与keypass 一致。
说明:
上述命令,需要将 -dname 参数替换(尤其时域名要写对)、密码更改即可,其它可保持不变。
生成证书签名请求(CSR)
命令如下:
keytool -certreq -keyalg RSA \-alias \-keystore _keystore.jks \-storetype JKS \-storepass mypassword \-file _certreq.csr
解释:
-file _certreq.csr 此处”_certreq.csr “为证书签名请求文件。
说明:
将”_certreq.csr “文件发送给证书签名机构,然后等待证书签名机构将签名的证书发回,再进行下一步。
将已签名的证书导入证书库
如果到了这步,应该会拿到两个证书。一个是签名机构的根证书(假定为GlobalSign_cert.cer),一个是的已签名证书(假定为_cert.cer)。两个证书均导入到证书库(_keystore.jks)中。
导入签名机构的根证书:
keytool -import -trustcacerts \-keystore _keystore.jks \-storepass mypassword \-alias root_GlobalSign \-file GlobalSign_cert.cer
说明:
alias和file两个参数进行替换。
导入的已签名证书
keytool -import -trustcacerts \-keystore _keystore.jks \-storepass mypassword \-alias \-file _cert.cer
说明:
alias参数要与生成时一致,file参数进行替换。
辅助命令
查看证书库
keytool -list -v \-keystore _keystore.jks \-storepass mypassword
查看证书签名请求
keytool -printcertreq -file _certreq.csr
查看已签名证书
keytool -printcert -file GlobalSign_cert.cerkeytool -printcert -file _cert.cer