Java基础、中级、高级、架构面试资料
    你的位置:业余草 > JAVA > CA签名SSL证书和自签名SSL证书的生成

    CA签名SSL证书和自签名SSL证书的生成

    JAVA herman 5472浏览 0评论
    公告:“业余草”微信公众号提供免费CSDN下载服务(只下Java资源),关注业余草微信公众号,添加作者微信:xttblog2,发送下载链接帮助你免费下载!
    本博客日IP超过2000,PV 3000 左右,急需赞助商。
    极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
    受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
    所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
    视频教程免费领
    腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云

    所谓自签名证书,就是自己颁发给自己的证书 ,所以颁证的主体是不可信任的。

    自签证书是不会被浏览器信任的证书的,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书,如下图:

    浏览器会警告用户此证书不受信任

    既然自签证书是不可信任的,那为何还有人包括12306也在用自签证书呢?

    主要原因是:

    1. 自签证书是免费的 
    2. 自签证书相对申请CA证书,流程更简单 
    3. 自签证书同样可以对数据进行加密 
    4. 自签证书的有效期可以设置很长,免去续签的麻烦 
    5. 自签证书更方便测试,比如说你想生成多少个不同服务器ip的都可以 

    所以对于一些个人开发者来说使用自签证书可能会更方便,只要你能接受别人浏览你网站时弹出的提醒:不安全。

    CA签名SSL证书

    相对自签证书的自己给自己颁证,由权威的证书授权机构(Certificate Authority)颁发的签名证书,我们称之为:CA证书。

    CA证书保证书持有者的身份和公钥的拥有权。浏览器对CA证书是信任的,如下图:

    浏览器对CA证书是信任的

    自签名SSL证书的生成

    自签证书虽然提示:不安全。但还是有很多上面已提到的好处,所以下面先说说自签证书的生成,主要使用Java JDK下的:keytool.exe。

    先下载安装Java JDK

    安装完后,根据实际的路径找到keytool.exe,如我的在此路径:D:\Program Files (x86)\Java\jdk1.8.0_101\bin\keytool.exe。

    生成keystore。打开命令行(cmd),去到keytool所在的路径,运行: 

    keytool -genkey -alias tomcat  
-storetype PKCS12 -keyalg RSA 
-keysize 2048  -keystore d:\mykeystore\keystore.p12 
-validity 3650  -ext san=ip:192.168.100.132 
-dname "CN=garyyan, OU=mycompany, O=mycompany, L=gd, ST=gd, C=china"

    此命令中间只需要输入密码,就能生成keystore,假设密码是:123456。

    参数解释

    1. keystore可理解为一个数据库,可以存很多个组数据。 每组数据主要包含下面两种数据:a:密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密);b:可信任的证书实体(trusted certificate entries)——只包含公钥。
    2. -keystore d:\mykeystore\keystore.p12,指定在d:\mykeystore(先要手动创建此文件夹),生成keystore:keystore.p12
    3. -alias tomcat,为其指明在keystore中的唯一的别名:tomcat ,因为keystore中可能还存有其它的别名,如:tomcat 2
    4. -storetype PKCS12指明密钥仓库类型是PKCS12
    5. -keyalg RSA,指定加密算法,本例中的采用通用的RAS加密算法
    6. -keysize 2048指定密钥的长度为2048
    7. -validity 3650 指定证书的有效期为3650天
    8. -ext san=ip:192.168.100.132请根据你的服务器的IP地址设置,如果不进行设置,客户端在访问的时候可能会报错
    9. -dname “CN=garyyan, OU=mycompany,O=mycompany,L=gd, ST=gd, C=china”。其中:”CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)”,我在测试的过程中发现随便填就行

    导出公钥证书

    运行如下命令: 

    keytool -export -keystore d:\mykeystore\keystore.p12 
-alias tomcat -file mycer.cer -storepass 123456

    参数解释

    • -keystore d:\mykeystore\keystore.p12 是指上面的keystore文件 
    • -alias tomcat是指定别名为tomcat的那一组 
    • -file mycer.cer指定在当前目录生成名为mycer.cer的证书 
    • -storepass 123456是上面生成keystore 所用的密码

    业余草公众号

    最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!

    本文原文出处:业余草: » CA签名SSL证书和自签名SSL证书的生成

    继续浏览有关 的文章

    相关文章推荐