本文介绍了一种从CA获得的四种不同类型的SSL证书(包括root证书、chain证书、server证书及serverkey)整合成统一keystore的方法。提供了两种方案:一种先将证书导入Java的信任库再使用Portecle工具进行格式转换;另一种则是直接生成jks格式的keystore,再转换为其他格式。特别指出Firefox浏览器对于jks格式的支持存在问题。
来源:http://blog.sina.com.cn/s/blog_7035c6ac01017hrx.html
从CA获得四个文件:
root证书:
EntrustSecureServerCA.crt
chain证书:
USERTrustLegacyCA.crt
server证书:server.crt
server key:server.key
第一种方式:运行1,直接2的第一条命令,然后使用
用portecle工具,打开server.p12(可以导入链证书、根证书,转换格式),制作需要格式的keystore。
第二种方式:运行2,直接生成jks的keystore,如需转换到pkcs12等证书格式,
使用
portecle工具。
注:firefox对于jks支持有问题,建议使用pkcs12.
-------------------------------------------------------------------------------------------------
@echo off
rem 制作keystore
rem 1.把信任的证书导入java,这样生成server.p12之后,直接可以用portecle工具操作。
rem keytool -import -alias USERTrustLegacyCA
rem keytool -import -alias EntrustSecureServerCA
rem 2.生成jks的keystore,主要因为pkcs12格式的keystore,不支持TrustedCertEntry,链证书、根证书无法导入。
rem del tomcat_jks.keystore
rem openssl pkcs12 -export -in server.crt
rem keytool -v -importkeystore -srckeystore server.p12 -srcstoretype PKCS12
rem keytool -import -trustcacerts -alias EntrustSecureServerCA -file EntrustSecureServerCA.crt -keystore tomcat_jks.keystore
rem keytool -import -trustcacerts -alias USERTrustLegacyCA -file USERTrustLegacyCA.crt -keystore tomcat_jks.keystore
rem 3.生成pkcs12的keystore。链证书、根证书无法导入,可以用portecle工具操作把jks转为pkcs12。
rem keytool -importkeystore -srckeystore tomcat_jks.keystore -srcstoretype JKS -deststoretype PKCS12 -destkeystore tomcat_pkcs12.keystore
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
