keytool生成/导出服务端证书

最新推荐文章于 2021-02-24 04:08:28 发布
原创 最新推荐文章于 2021-02-24 04:08:28 发布 · 537 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细介绍如何使用JDK keytool工具生成服务器端SSL证书,并配置Tomcat支持HTTPS访问。包括生成证书、导出证书、配置Tomcat等步骤。

生成工具:JDK keytool工具

环境要求:JDK安装完成、JDK环境变量配置完成、Tomcat安装完成

 

生成服务器端证书

#生成时效为一年的证书文件
D:\>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 3650 -keystore tomcat.keystore
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
  [Unknown]:  www.baidu.com
您的组织单位名称是什么?
  [Unknown]:  baidu
您的组织名称是什么?
  [Unknown]:  baiducompany
您所在的城市或区域名称是什么?
  [Unknown]:  hangzhou
您所在的省/市/自治区名称是什么?
  [Unknown]:  zhejiang
该单位的双字母国家/地区代码是什么?
  [Unknown]:  cn
CN=www.baidu.com, OU=baidu, O=baiducompany, L=hangzhou, ST=zhejiang, C=cn是否
正确?
  [否]:  y

输入 <tomcat> 的密钥口令
        (如果和密钥库口令相同, 按回车):
 注意:【您的名字与姓氏是什么?】必须填写自己网站的域名或者IP或者机器名;文件生成在执行的目录下,此处是存放在D盘符目录下。

 

导出服务器证书

D:\>keytool -export -alias tomcat -keystore d:/tomcat.keystore -storepass #此处填写密钥库口令# -rfc -file d:/tomcat.cer
例如:D:\>keytool -export -alias tomcat -keystore d:/tomcat.keystore -storepass baidu1234 -rfc -file d:/tomcat.cer
系统会提示:存储在文件 <d:/tomcat.cer> 中的证书,说明已经导出成功了,这个文件需要提供给想要接入的客户端或浏览客户端。

 

配置Tomcat

1.将生成的tomcat.keystore文件拷贝到Tomcat的conf文件夹下;

2.配置server.xml文件

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="%Tomcat_Home%/conf/tomcat.keystore" keystorePass="密钥库口令"/>

3.重新启动Tomcat

 

其他参考资料:http://mazhihui.iteye.com/blog/1012912

keytool生成ssl证书
wang13145的博客
09-02 944
使用JDK自带工具keytool生成ssl证书 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文,因此使用HTTP协议传输隐私信息非常不安全。HTTP使用80端口通讯,而HT
keytool生成自签名证书或CA根证书
weixin_40857858的博客
08-18 1800
1、keytool生成自签名证书 @echo on #1.生成密匙库 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
keytool生成证书
Abel.lin的专栏
07-24 1809
验证是否已创建过同名的证书 keytool -list -v -alias sso -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit 删除已创建的证书 keytool -delete -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS
java生成iso9660工具_使用JDK自带的keytool工具生成证书
weixin_30490029的博客
02-24 380
一、keytool 简介keytooljava用于管理密钥和证书的工具,它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。在JDK1.4以后的版本中都包含了这一工具,它的位置为%JAVA_HOME%\bin\keytool.exe,如下图所示:其功能包括:创建并管理密钥创建并管理证书作为CA 为证书授权导入导出...
tomcat配置https方法
weixin_33860737的博客
11-03 418
利用tomcat服务器配置https双向认证 步骤 1、为服务器生成证书进入控制台,切换到%JAVA_HOME%/bin目录,具体操作略。 使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件想要存放在“D:\home\tomcat.keystore”,口令为“password”,使用如下命令生成keytool -genkey ...
tomcat7+jdk的keytool生成证书 配置https
weixin_34203832的博客
09-25 436
目前只会使用jdk的keytool生成证书。本文仅介绍这种方法。 1Windows下: 1.1 生成keystore文件及导出证书 打开控制台: 运行: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 按照要求一步步的输入信息,问你国家/地区代码的时候,输入cn。 输入密码的时候,这里使用:changeit 最后...
使用keytool命令生成证书并导入java的cacerts证书库
眼前一座山,踏平它
12-19 5539
1、生成证书,其中-alias后是别名,-keystore后是证书路径和名称 keytool -genkey -alias tomcat -keyalg RSA -keystore /etc/cas/keystore/tomcat.keystore 提示时必须输入 https域名,如:sso.gudao.red, 否则会报java.io.IOException: HTTPS hostna
KeyTool 工具生成X.509证书
08-06
在本文中,我们将深入探讨KeyTool的基本用法、X.509证书的概念,以及如何使用KeyTool生成这种类型的证书。 X.509是一种国际标准,用于定义证书的格式,它包含了公钥和相关标识信息,如组织名称、地理位置等,常用于...
https协议使用keytool生成证书
shaowei6969的博客
05-15 1267
1.生成安全证书 keytool -genkey -alias tomcat (证书别名) -keyalg RSA (算法) -validity 3650 (有效期,单位:天) -keystore d:\tomcat.keystore (指定生成证书的位置和证书名称) 其中名字与姓氏必须是域名,否则会出问题 2.tomcat中配置安全证书,在server.xml中,先注释掉8080端口的配置,在下边加上: 属性说明 3.生成客户端CA证书 keytool -selfcert -alias “
Keytool生成双向https证书提供请求https的工具包
moyanxiaoq的博客
11-28 712
背景 前段时间分享了一个使用jdk自带的Keytool+tomcat项目http转单向https的文章,但是业务中很多需求还是要使用到双向的https更加安全,今天分享一下具体操作步骤。 项目如果是IP方式访问用-ext SAN=ip:192.168.1.1,如果是域名用 -ext SAN=dns:www.abc.com,注意“您的名字与姓氏是什么?”就是你的IP或域名根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参CN必须与服务端的IP地址相同,否则会报错,客户端的任意。 证书生成 首先创建一
keystore_export导出密钥工具
03-15
一个简单的java程序,keytool密钥导出工具,导出keytool工具生成的keystore中的密钥。
java + keytool+openssl 实现批量生成客户端证书
06-07
使用Java实现根据ca购买到的根证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认证
使用JAVAkeytool生成jks证书,通过jks证书生成pfx证书,tomcat配置https
bighuan的博客
05-22 3454
本文使用JKD1.8版本。 keytool常用命令(来自网络) -genkey 在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录) -alias 产生别名,每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写 -keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中) -k...
keytool生成证书的方法
jievachange
08-16 7488
1. 导入 最近在开发中,笔者遇到了这样的问题:当第三方向我们系统请求pay bill业务时,我们的系统就会报错,而且错误的信息是找不到有效的证书,所以交易就被cancelled了。我们不深究为什么会有这样的错误,笔者今天主要讲的是关于keytool的相关知识,因为了解这个,你就会知道上面的问题是为什么了。 2. keytool介绍 笔者查找了关于keytool的相关解释,网站上给出的定义...
使用keytool命令生成证书
liming19890713的专栏
09-21 860
使用keytool命令生成证书keytool -genkey -alias tomcat(别名) -keypass 123456(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度) -validity 365(有效期,天单位) -keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称) -sto
以加密方式访问tomcat服务器
weixin_30519071的博客
12-26 366
以加密方式(https)访问tomcat服务器,就要求对相应的端口配置加密连接器connector。 配置加密连接器的方法如下: 1、生成数字证书 利用jdk里的keytool生成证书keytool的位置在<JAVA_HOME>\bin\keytool.exe,生成证书的命令: keytool -genkey -alias tomcat -keyalg RSA 过程中会要求...
通过https协议访问Tomcat
客家人@云
01-15 318
我一般访问tomcat都是通过http协议的,其实只要通过简单设置,我们同样可以通过https协议访问tomcat。 具体步骤如下: 第一: 进入cmd命令行,输入命令: keytool -genkey -alias tomcat -keyalg RSA 按回车后,它会要你输入keystore密码:(我输入的是:CLOUND) 按回车后,它会要你确认keystore密码:(我输入的是...
java keytool 导出证书_使用keytool 生成证书
weixin_39920397的博客
02-24 1844
keytool 工具介绍keytooljava 用于管理密钥和证书的工具,其功能包括:1 创建并管理密钥2 创建并管理证书3 作为CA 为证书授权4 导入导出证书keytool 采用keystore来存储密钥及证书,其中可包括私钥、信任证书;keystore 文件使用 JKS格式,带密钥存储;其中私钥的存储也有独立的密码;一、生成 私钥keytool -genkey -alias server...
使用JDK自带工具keytool生成ssl证书
热门推荐
seeker的博客
05-17 6万+
使用JDK自带工具keytool生成ssl证书 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协...
keytool 命令从服务端导出PEM格式证书
最新发布
04-01
<think>好的,我现在需要解决用户的问题:如何使用keytool导出PEM格式的SSL/TLS证书。首先,我需要回忆一下keytool的常用命令和相关参数。 用户提到他们已经看过一些引用内容,其中引用[3]展示了一个导入证书的例子,但用户现在需要的是导出为PEM格式。通常,keytool默认导出的是DER或PKCS#7格式,而PEM是Base64编码的文本格式,所以需要转换步骤。 首先,我应该考虑使用keytool导出证书为DER格式,因为这是二进制格式,然后通过OpenSSL将其转换为PEM。这可能涉及到以下步骤: 1. 使用keytool的-exportcert命令导出为DER格式(.cer或.crt文件)。 2. 使用OpenSSL的x509命令将DER转换为PEM格式。 此外,用户可能需要知道如何指定别名和密钥库路径。例如,基本的导出命令可能像这样: keytool -exportcert -alias 别名 -keystore 密钥库.jks -file 证书.der -rfc 不过,这里有个疑问:-rfc参数是否可以直接导出PEM?根据记忆,-rfc参数确实可以指定输出为PEM格式,因为默认情况下keytool导出的是DER格式,但加上-rfc后会用Base64编码,符合PEM的要求。所以可能不需要额外使用OpenSSL转换,直接使用-rfc参数即可得到PEM文件。 接下来需要验证这一点。查阅资料确认,keytool的-exportcert命令配合-rfc选项确实可以输出PEM格式。例如: keytool -exportcert -alias myalias -keystore keystore.jks -rfc -file certificate.pem 这样用户就可以直接得到PEM文件,无需转换步骤。不过,如果用户的环境中没有安装OpenSSL,或者需要确保兼容性,可能需要分两步进行,先导出DER再转换。 另外,需要提醒用户替换示例中的别名、密钥库名称和密码。可能还需要注意密钥库的类型,比如JKS或PKCS12,但keytool默认处理JKS,如果使用其他格式需要指定-storetype参数。 总结步骤: 1. 使用keytool导出PEM格式: keytool -exportcert -alias 别名 -keystore 密钥库.jks -rfc -file 证书.pem -storepass 密码 或者,如果使用DER再转换: 2. 导出DER: keytool -exportcert -alias 别名 -keystore 密钥库.jks -file 证书.der -storepass 密码 3. 使用OpenSSL转换: openssl x509 -inform der -in 证书.der -out 证书.pem 还需要注意权限问题,确保用户有读取密钥库的权限,以及正确的存储路径。此外,如果有多个证书链,可能需要导出完整的证书链,可能需要额外的参数,如-rfc和-chain的组合,但需要确认keytool是否支持。 可能的问题点:用户是否安装了OpenSSL?如果用户的环境无法安装OpenSSL,第一种方法(直接使用-rfc)更合适。因此,在回答中应该优先推荐使用-rfc参数直接导出,并提供备用方案。 最后,要确保命令中的参数正确,比如-storepass可能需要放在命令中,但出于安全考虑,建议用户在不带-storepass的情况下执行,让工具提示输入密码,避免密码泄露在历史记录中。 综上,正确的步骤应该是使用keytool的-exportcert命令加上-rfc选项直接生成PEM文件,或者通过导出DER再转换。需要明确两种方法,并根据用户的环境推荐最合适的方式。</think>### 如何用 keytool 导出 PEM 格式的 SSL/TLS 证书? #### 步骤说明 1. **导出证书为 PEM 格式** 使用 `keytool` 的 `-exportcert` 命令结合 `-rfc` 参数,直接生成 PEM 格式的证书文件: ```bash keytool -exportcert -alias [证书别名] -keystore [密钥库路径.jks] -rfc -file [导出文件.pem] -storepass [密钥库密码] ``` - `-alias`:证书在密钥库中的别名(必填) - `-keystore`:密钥库文件路径(如 `tomcat.jks`) - `-rfc`:指定输出为 PEM 格式(默认是 DER) - `-file`:导出的 PEM 文件路径(如 `certificate.pem`) - `-storepass`:密钥库密码(可选,建议交互式输入以保安全) **示例**: ```bash keytool -exportcert -alias tomcat -keystore /path/to/keystore.jks -rfc -file server-cert.pem ``` 执行后会提示输入密钥库密码(若未通过 `-storepass` 指定)[^3]。 2. **备用方法:DER 转 PEM** 如果环境不支持 `-rfc` 参数(旧版本工具),可先导出 DER 格式,再用 OpenSSL 转换: ```bash # 导出 DER 格式 keytool -exportcert -alias tomcat -keystore keystore.jks -file cert.der # 转换为 PEM openssl x509 -inform der -in cert.der -out cert.pem ``` #### 注意事项 - **别名查询**:若不确定证书别名,可通过以下命令列出密钥库内容: ```bash keytool -list -v -keystore keystore.jks ``` - **证书链完整性**:若证书包含中间 CA,需确保导出完整链。部分场景可能需要额外参数或手动合并文件。 - **安全性**:避免在命令行中直接写密码(如 `-storepass 123456`),建议交互式输入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值