用keytool製做多域名證書

時間 2020-01-10

標籤 keytool 製做域名證書简体版

原文原文鏈接

keytool來生成用於tomcat的多域名ssl自簽名證書，方法很簡答：java

安裝好jdk，配置好環境變量後，執行如下命令來生成自簽名的多域名證書：linux

keytool -genkey -alias server -keyalg RSA -keysize 1024 -keypass econfpass -keystore D:\keystore\server.jks -storepass econfpass -validity 36500 -dname "CN=域名1,CN=域名2,CN=域名3,OU=test,O=test,L=test,ST=test,C=test"算法

這樣獲得的server.jks就能夠同時支持「域名1，域名2，域名3」。apache

在配置tomcat的server.xml文件時要注意，對於採用keystore方式的配置，不能啓用apr connector，也即須要將tomcat

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />服務器

註釋掉，由於APR connector須要的證書格式是apache支持的證書格式。ide

NOTE: (xp: %JAVA_HOME%/jre/lib/security/cacerts, linux: $JAVA_HOME/jre/lib/security/cacerts)工具

驗證是否已建立過同名的證書
keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit測試

刪除已建立的證書
keytool -delete -alias tomcat -keystore "%%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeitui

Keytool是一個Java數據證書的管理工具。
keystore

Keytool將密鑰（key）和證書（certificates）存在一個稱爲keystore的文件中
在keystore裏，包含兩種數據：密鑰實體（Key entity）——密鑰（secret key）又或者是私鑰和配對公鑰（採用非對稱加密）
可信任的證書實體（trusted certificate entries）——只包含公鑰
Alias（別名）
每一個keystore都關聯這一個獨一無二的alias，這個alias一般不區分大小寫
keystore的存儲位置
在沒有制定生成位置的狀況下，keystore會存在與用戶的系統默認目錄，
如：對於window xp系統，會生成在系統的C:\Documents and Settings\UserName\
文件名爲「.keystore」
keystore的生成

引用

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180
參數說明：
-genkey表示要建立一個新的密鑰
-dname表示密鑰的Distinguished Names，
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
Distinguished Names代表了密鑰的發行者身份
-keyalg使用加密的算法，這裏是RSA
-alias密鑰的別名
-keypass私有密鑰的密碼，這裏設置爲changeit
-keystore 密鑰保存在D:盤目錄下的mykeystore文件中
-storepass 存取密碼，這裏設置爲changeit，這個密碼提供系統從mykeystore文件中將信息取出
-validity該密鑰的有效期爲 180天 (默認爲90天)
cacerts證書文件(The cacerts Certificates File)
該證書文件存在於java.home\jre\lib\security目錄下，是Java系統的CA證書倉庫
建立證書
1.服務器中生成證書：(注：生成證書時，CN要和服務器的域名相同，若是在本地測試，則使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
2.導出證書，由客戶端安裝：
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客戶端配置：爲客戶端的JVM導入密鑰(將服務器下發的證書導入到JVM中)keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -file d:\mycerts.cer -storepass changeit
生成的證書能夠交付客戶端用戶使用，用以進行SSL通信，或者伴隨電子簽名的jar包進行發佈者的身份認證。

常出現的異常：「未找到可信任的證書」--主要緣由爲在客戶端未將服務器下發的證書導入到JVM中，能夠用
keytool -list -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

linux: #keytool -list -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
來查看證書是否真的導入到JVM中。

keytool生成根證書時出現以下錯誤：

keytool錯誤:java.io.IOException:keystore was tampered with,or password was incorrect

緣由是在你的home目錄下是否還有.keystore存在。若是存在那麼把他刪除掉，而後再執行

或者刪除"%JAVA_HOME%/jre/lib/security/cacerts 再執行

keytool 用法：

-certreq [-v] [-protected]

[-alias <別名>] [-sigalg <sigalg>]

[-file <csr_file>] [-keypass <密鑰庫口令>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-changealias [-v] [-protected] -alias <別名> -destalias <目標別名>

[-keypass <密鑰庫口令>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-delete [-v] [-protected] -alias <別名>

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-exportcert [-v] [-rfc] [-protected]

[-alias <別名>] [-file <認證文件>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-genkeypair [-v] [-protected]

[-alias <別名>]

[-keyalg <keyalg>] [-keysize <密鑰大小>]

[-sigalg <sigalg>] [-dname <dname>]

[-validity <valDays>] [-keypass <密鑰庫口令>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-genseckey [-v] [-protected]

[-alias <別名>] [-keypass <密鑰庫口令>]

[-keyalg <keyalg>] [-keysize <密鑰大小>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-importcert [-v] [-noprompt] [-trustcacerts] [-protected]

[-alias <別名>]

[-file <認證文件>] [-keypass <密鑰庫口令>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-importkeystore [-v]

[-srckeystore <源密鑰庫>] [-destkeystore <目標密鑰庫>]

[-srcstoretype <源存儲類型>] [-deststoretype <目標存儲類型>]

[-srcstorepass <源存儲庫口令>] [-deststorepass <目標存儲庫口令>]

[-srcprotected] [-destprotected]

[-srcprovidername <源提供方名稱>]

[-destprovidername <目標提供方名稱>]

[-srcalias <源別名> [-destalias <目標別名>]

[-srckeypass <源密鑰庫口令>] [-destkeypass <目標密鑰庫口令>]]

[-noprompt]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-keypasswd [-v] [-alias <別名>]

[-keypass <舊密鑰庫口令>] [-new <新密鑰庫口令>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-list [-v | -rfc] [-protected]

[-alias <別名>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

-printcert [-v] [-file <認證文件>]

-storepasswd [-v] [-new <新存儲庫口令>]

[-keystore <密鑰庫>] [-storepass <存儲庫口令>]

[-storetype <存儲類型>] [-providername <名稱>]

[-providerclass <提供方類名稱> [-providerarg <參數>]] ...

[-providerpath <路徑列表>]

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。