该文章详细介绍了如何使用OpenSSL命令行工具创建CA证书,包括生成服务器私钥、CSR文件,设置subjectAltName,然后签发服务器证书。此外,还讲解了如何将生成的证书转换为Java所需的JKS格式,涉及keytool的使用以及处理过程中可能遇到的问题和解决方法。
如果需要创建ca证书可以看我的openssl证书文章
openssl genrsa -out server.key 1024 服务器私钥
openssl req -new -key server.key -out server.csr 服务器请求文件 可以加-days 指定时间
第二步
echo "subjectAltName=DNS:hermit.run,IP:172.28.196.1,IP:192.168.242.10" > doubleip
DNS后面为域名可以多个
IP后面为ip地址可以多个
openssl ca -extfile doubleip -days 3650 -in server.csr -cert ca.crt -keyfile ca.key -out server.crt 根据ca证书签发服务器证书
-extfile是你上一步创建的文件
ca.crt是根证书的证书
ca.key是根证书的私钥
可能遇到的一些问题
会提示缺少文件无法签发
输入 openssl version -a查看自己的openssl.cnf在什么地方打开配置文件
需要根据自己的默认配置创建相应的文件,具体看报错 缺什么文件就新建什么文件路径一定要和配置文件里面一样
查看证书信息
openssl x509 -in 你的服务器证书名字.crt -noout -text
jks证书(java程序需要的)
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name alias-key(需要.key私钥文件和.crt证书)
先生成.p12文件
(server代表你的ailas别名)
server.crt 服务器证书
server.key 服务器证书的私钥
这里的密码是下一步需要用到的
第二步
keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -destkeystore server.jks
根据.p12文件生成jks证书
源秘钥就是上一步密码
查看jks信息
keytool -list -v -keystore 你的jks名字.jks 需要输入秘钥就是上一步的目标秘钥
扫一扫
1440