自制证书(STL)-创建https证书

生成证书流程

先上一张图,这张图就是用openssl生成证书的整个流程了,如何看这个图呢?

这个图有A、B、C三个部分,分别用三种颜色框选了一下,A部分是CA机构根证书的生成过程,这个过程需要先生成CA机构的私钥,再由CA机构的私钥生成CA机构证书申请文件,然后再由这两个文件生成根证书。

B部分是生成服务器私钥,然后由服务器私钥生成服务器证书申请文件。

C部分是最后一部分,也就是生成服务器的公钥证书,服务器的公钥证书需要三部分一起来生成,A部分的CA机构的私钥,CA机构的申请证书文件,B部分的服务器证书申请文件,这三部分一起来生成服务器的公钥证书。

所谓JKS(Java Key Store)就是利用Java Keytool 工具生成的Keystore文件(文件后缀:*.jks *.keystore 或无后缀),JKS文件由公钥和私钥构成,其中的公钥就是我们所说的证书,即cer为后缀的文件,而私钥就是密钥,即以key为后缀的文件。可以通过Keytool结合Openssl提取jks文件的公钥和私钥。jks格式的证书主要使用与JAVA程序。

OpenSSL 可以生成自签证书 适用范围更广

==keytool没办法签发证书,而openssl能够进行签发和证书链的管理==

方式1 使用openssl 生成证书

生成 CA证书

  1. 生成CA机构的私钥
openssl genrsa -out ca.key 1024
  1. 生成CA机构自己的证书申请文件
openssl req -new -key ca.key -out ca.csr
  1. 生成自签名证书,CA机构用自己的私钥和证书申请文件生成自己签名的证书,俗称自签名证书,这里可以理解为根证书。
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

生成服务器证书

  1. 生成服务器私钥。
openssl genrsa -out server.key 1024

  1. 根据服务器私钥文件生成证书请求文件,这个文件中会包含申请人的一些信息,所以执行下面这行命令过程中需要用户在命令行输入一些用户信息。可以通过con name 绑定域名。
openssl req -new -key server.key -out server.csr
  1. 根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器的证书申请文件server.csr生成服务端证书。
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

上面的过程其实是模拟了各大https证书厂商生成https证书的过程,其中涉及到了根证书等等一些概念,如果你不是太明白也没有关系,我们还有B方案,我只想要证书,不想搞得太深,那么请使用如下方法,简便快捷。

只需要三步:

## 第一步,生成服务器私钥:

openssl genrsa -out server.key 1024

## 第二步,根据私钥和输入的信息生成证书请求文件:

openssl req -new -key server.key -out server.csr

## 第三步:用第一步的私钥和第二步的请求文件生成证书:

openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

这样我们就拿到了私钥server.key和证书server.crt。

为什么第二种方式比第一种简单并且步骤还少呢?这里简单介绍一下,第一种方式是模拟https厂商生成https证书的简易过程,https证书厂商一般都会有一个根证书,这里我们模拟生成了https厂商根证书,也就是第一种方法的1、2、3步骤。

在实际应用中,这些步骤对用户来说是不可见的,这里只是简单模拟,通常证书申请用户只需要将服务器的公钥(注意不是私钥)和服务器证书申请文件交给https证书厂商即可,之后https厂商会通过邮件回复一个服务器公钥证书,拿到这个证书和自己生成的服务器私钥就可以搭建https应用了。

第二种方法比较简单,是因为我们自己生成证书在本地测试,我们既是https厂商的角色也是用户角色,我们直接用自签名证书当做服务器证书就可以了,简单快捷,不过这里只适用于测试。

openssl生成证书供java使用

java程序使用的证书是JKS格式,因此需要将openssl生成的证书进行格式转换。
crt证书转为p12(需要输入一个密码),需要使用到上面的 server.crt server.key

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

使用keytool把p12证书转为jsk格式

keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass changeit -alias cas -deststorepass changeit -destkeypass changeit -destkeystore server.jks

生成的server.jks 可以用于springboot项目 ,applicationg.properties 配置参考:

server.ssl.key-store=file:/etc/cas/server.jks
server.ssl.key-store-password=changeit
server.ssl.key-password=changeit

快捷方式 使用mkcert 生成证书

  1. 请在管理员模式下打开Powershell 安装mkcert
Set-ExecutionPolicy Bypass -Scope Process -Force; `
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072;`
iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))

choco install mkcert -y

  1. 生成证书
#创建一个用来保存证书文件的目录
mkdir -p .cert

#生成 RootCA
mkcert -install

#可以一次性为多个域名创建证书,这个非常强大
mkcert -key-file ./.cert/key.pem -cert-file ./.cert/cert.pem cvicse.com "*.cvicse.com"  localhost 127.0.0.1 ::1

方式2 使用keytool 生成证书

1、生成证书


keytool -genkey -alias cas -keyalg RSA -keysize 1024 -keypass changeit -validity 3650 -keystore  F:\etc\cas\thekeystore -storepass changeit


c) 2019 Microsoft Corporation。保留所有权利。

您的名字与姓氏是什么?
  [Unknown]:  sso.ks.com
您的组织单位名称是什么?
  [Unknown]:  sso.ks.com
您的组织名称是什么?
  [Unknown]:  sso.ks.com
您所在的城市或区域名称是什么?
  [Unknown]:  ks
您所在的省/市/自治区名称是什么?
  [Unknown]:  js
该单位的双字母国家/地区代码是什么?
  [Unknown]:  china
CN=sso.ks.com, OU=sso.ks.com, O=sso.ks.com, L=ks, ST=js, C=china是否正确?
  [否]:  y


Warning:
生成的证书 uses a 1024 位 RSA 密钥 which is considered a security risk. This key size will be disabled in a future update.

2、导出证书


keytool -export -alias cas -keystore  F:\etc\cas\thekeystore -file  F:\etc\cas\cas.crt -storepass changeit

3、把证书导入到证书信任库
使用管理员权限运行


keytool -import -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -file F:\etc\cas\cas.crt -alias cas-storepass changeit

如果你想查看证书信任库都有哪些证书,输入命令为:


keytool -list -alias cas-keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit

删除证书,输入命令为:

keytool -delete -alias cas -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit

4、修改tomcat的server.xml文件

直接新增,里面的证书路径和密码根据你自己的修改

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               keystoreFile="F:\etc\cas\thekeystore" keystorePass="changeit"
               clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"/>

5、到bin目录启动startup.bat,然后浏览器里输入https://sso.ks.com:8443/

从keystore中导出证书和私钥

导出证书一句话解决,可能需要输入密码。

  1. 导出证书
 keytool -export -alias cas -keystore thekeystore -rfc -file cas.cert

导出私钥,一共分三步,中间需要输入密码。
jks文件中的私钥不能直接得到,需要通过openssl将jks文件转换成p12格式后再进行提取

2.导出私钥

2.1 得到pkcs12格式的证书

keytool -importkeystore -srckeystore thekeystore -destkeystore ck.p12 -deststoretype pkcs12

2.2 转化成pem格式的文件

openssl pkcs12 -in ck.p12 -nocerts -nodes -out cas.key

参考:
https://www.jianshu.com/p/eb52e0f5ee85
https://blog.csdn.net/qq_20967969/article/details/123443776
https://blog.csdn.net/lu_wei_wei/article/details/111264842
https://www.jianshu.com/p/5cff7accfd78

本文由博客一文多发平台 OpenWrite 发布!

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,530评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,403评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,120评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,770评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,758评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,649评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,021评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,675评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,931评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,751评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,410评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,004评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,969评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,042评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,493评论 2 343

推荐阅读更多精彩内容