openssl 生成私鑰、申請文件，證書導入jks說明

openssl 生成私鑰、申請文件，證書導入說明

1.生成私鑰

openssl genrsa -out serverkey.key 1024/2048 這樣生成的私鑰不帶密碼（之後生成密鑰庫後，要將密碼改爲和密鑰庫密碼相同）

openssl genrsa -des3 -out serverkey.key 1024/2048    這樣生成的帶密碼（密碼必須和之後生成的密鑰庫密碼相同）

2.生成申請文件

openssl req -new -key serverkey.key -out cert.csr

須要用到第一步生成的私鑰文件serverkey.key 根據提示填寫各類信息（有的CA機構可能某些字段值有要求，那就要根據CA機構的要求填）

3.將申請文件提交到CA認證機構申請證書

4.生成CA證書鏈（若是CA機構提供的是CA證書鏈）

rootca.cer 、childca.cer 兩個CA證書

server.cer CA機構辦法給咱們的證書

openssl x509 -in rootca.cer -text -noout

openssl x509 -in childca.cer -text -noout

openssl x509 -in server.cer -text -noout

先查看下這樣是否能查看證書的信息，若是報錯則須要將所給的證書轉換爲.pem格式

openssl x509 -in rootca.cer -inform DER -out rootca.pem -outform  PEM

openssl x509 -in childca.cer -inform DER -out childca.pem -outform  PEM

openssl x509 -in server.cer -inform DER -out server.pem -outform  PEM

cp childca.pem chain.pem 複製childca.pem到chain.pem

cat rootca.pem >> chain.pem 合併證書（下一步要用到）

openssl verify -CAfile chain.pem server.pem  驗證證書鏈 （若顯示Verify OK，表示驗證證書鏈成功）

5.轉換用戶證書爲PKCS12

openssl pkcs12 -export -in server.pem -inkey serverkey.key -out server.pfx  -CAfile chain.pem

6.用portecle將PKCS12格式證書導入到jks密鑰庫

打開server.pfx以後轉換成jks（case sensitive）此格式能夠改私鑰的密碼。

右鍵能夠重命名別名，設置密碼（必須和jks密碼相同）

設置jks密碼（必須和密鑰設置密碼相同）

另存爲jks的文件

7.用portecle將CA證書導入信任庫

新建keystore

先導入對方CA證書（若是是多級CA，先導入根CA,依此類推）、再導入須要通信認證的對方證書，設置jks密碼，另存爲jks格式文件