数字证书管理工具openssl和keytool的区别

最新推荐文章于 2023-03-30 22:22:52 发布
最新推荐文章于 2023-03-30 22:22:52 发布
阅读量737 收藏 2
点赞数
原文链接:http://www.cnblogs.com/zhangshitong/p/9015482.html
版权

1.  用SSL进行双向身份验证意思就是在客户机连接服务器时,链接双方都要对彼此的数字证书进行验证,保证这是经过授权的才能够连接(我们链接一般的SSL时采用的是单向验证,客户机只验证服务器的证书,服务器不验证客户机的证书。而连接网上银行时使用的U盾就是用来存储进行双向验证所需要的客户端证书的)。
  JDK里面内置了一个数字证书生产工具keytool。但是这个工具只能生成自签名的数字证书。所谓自签名就是指证书只能保证自己是完整的,没有经过非法修改的。但是无法保证这个证书是属于谁的(一句话:keytool没办法签发证书,而openssl能够进行签发和证书链的管理)。其实用这种自签名的证书也是可以进行双向验证的(用keytool生成的自签名证书进行双向验证请看这里:http://www.blogjava.net/stone2083/archive/2007/12/20/169015.html),但是这种验证有一个缺点:对于每一个要链接的服务器,都要保存一个证书的验证副本。而且一旦服务器更换证书,所有客户端就需要重新部署这些副本。对于比较大型的应用来说,这一点是不可接受的。所以就需要证书链进行双向认证。证书链是指对证书的签名又一个预先部署的,众所周知的签名方签名完成,这样每次需要验证证书时只要用这个公用的签名方的公钥进行验证就可以了。比如我们使用的浏览器就保存了几个常用的CA_ROOT。每次连接到网站时只要这个网站的证书是经过这些CA_ROOT签名过的。就可以通过验证了。
  但是这些共用的CA_ROOT的服务不是免费的。而且价格不菲。所以我们有必要自己生成一个CA_ROOT的密钥对,然后部署应用时,只要把这个CA_ROOT的私钥部署在所有节点就可以完成验证了。要进行CA_ROOT的生成,需要OpenSSL(http://www.openssl.org/)。你也可以在http://www.slproweb.com/products/Win32OpenSSL.html找到Windows下的版本
安装好OpenSSL以后就可以生成证书链了

2.使用openssl生成根证书,服务端证书,客户端证书的方法:https://blog.youkuaiyun.com/u012333307/article/details/21597101

服务端、客户端经过认证的证书还要分别加入到彼此的信任库:

 

 

目的:实现web项目的ssl双向认证客户端证书代码生成。

使用openssl生成ca证书和服务端证书,当然也可以通过代码实现

1)创建CA私钥,创建目录ca

openssl genrsa -out ca/ca-key.pem 1024

2)创建证书请求

openssl req -new -out ca/ca-req.csr -keyca/ca-key.pem -config openssl.cnf 

在YOUR name 处一定要填写项目布置服务器所属域名或ip地址。

3)自签署证书

openssl x509 -req -in ca/ca-req.csr -outca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

4)导出ca证书

openssl pkcs12 -export -clcerts -inca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

只导出 ca证书,不导出ca的秘钥

openssl pkcs12 -export -nokeys -cacerts -inca/ca-cert.pem -inkey ca/ca-key.pem -

out ca/ca1.p12

注册服务端证书

1)创建服务端密钥库,别名为server,validity有效期为365天,密钥算法为RSA, storepass密钥库密码,keypass别名条码密码。

keytool -genkey -alias server -validity 3650-keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystoreserver/server.jks 

在名字和姓氏处填写项目布置服务器所属域名或ip地址。

2)生成服务端证书

keytool -certreq -alias server -sigalgMD5withRSA -file server/server.csr -keypass 123456 -keystore server/server.jks-storepass 123456

3)使用CA的密钥生成服务端密钥,使用CA签证

openssl x509 -req -in server/server.csr-out server/server.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650-set_serial 1

4)使密钥库信任证书

keytool -import -v -trustcacerts -keypass123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystoreserver/server.jks

5)将证书回复安装在密钥库中

keytool -import -v -trustcacerts -storepass123456 -alias server -file server/server.pem -keystore server/server.jks

6)生成服务端servertrust.jks信任库

keytool -import -alias server-ca-trustcacerts -file ca/ca-cert.pem -keystore server/servertrust.jks

注册客户端证书

1)创建客户端密钥,指定用户名,下列命令中的user将替换为颁发证书的用户名

openssl genrsa -out client/user-key.pem1024

2)

openssl req -new -out client/user-req.csr-key client/user-key.pem

3)生成对应用户名的客户端证书,并使用CA签证

openssl x509 -req -in client/user-req.csr-out client/user-cert.pem -signkey client/user-key.pem -CA ca/ca-cert.pem-CAkey ca/ca-key.pem -CAcreateserial -days 3650

4)将签证之后的证书文件user-cert.pem导出为p12格式文件(p12格式可以被浏览器识别并安装到证书库中)

openssl pkcs12 -export -clcerts -inclient/user-cert.pem -inkey client/user-key.pem -out client/user.p12 

5)将签证之后的证书文件user-cert.pem导入至信任秘钥库中(这里由于没有去ca认证中心购买个人证书,所以只有导入信任库才可进行双向ssl交互

keytool -import -alias user -trustcacerts-file client/user-cert.pem -keystore server/servertrust.jks

6)

keytool -list -v -alias user -keystoreserver/servertrust.jks -storepass 123456

3.配置web容器(tomcat或weblogic)tomcat conf 文件夹下的server.xml

 

 

关于X.509不同的数字证书所包含的内容信息和格式可能不尽相同,因此,需要一种格式标准来规范数字证书的存储和校验,大多数数字证书都以一种标准的格式(即X.509)来存储他们的信息,X.509

提供了一种标准的方式,将证书信息规范地存储到一系列可解析的字段中,X.509 V3 是X.509标准中目前使用最为广泛的版本

 

转载于:https://www.cnblogs.com/zhangshitong/p/9015482.html

OpenSSL keytool区别
LawssssCat的博客
03-14 4056
(科普向,大神笑笑就好) 学习生成证书的过程,我们会用到 连个工具:opensslkeytool 进一步了解,我们会知道,这两个工具,单独也可以生成证书。 那他们生成的证书区别是什么? 数字证书管理工具opensslkeytool区别 一句话:keytool没办法签发证书,而openssl能够进行签发证书链的管理 因此,keytool 签发的所谓证书只是一种 自签名证书 自签名证书 所...
KeytoolOpenSSL生成签发数字证书
最新发布
欢迎朋友,我是一名十多年开发经验的新手,希望多多指教。
12-11 1037
keystore的作用类似于windows存放证书的方式,不过跨平台了,^_^下面用Keytool生成CSR(Certificate Signing Request),并用OpenSSL生成CA签名的证书。按照命令的提示,回答一系列问题,就生成了数字证书。运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
【ssl认证、证书】SSL 证书基本概念、证书格式、opensslkeytool区别
m0_45406092的博客
03-30 2374
csr 是证书请求文件,由客户生成,然后提供给CA签发机构,是由 RFC 2986定义的PKCS10格式,包含部分/全部的请求证书的信息,比如,主题, 机构,国家等,并且包含了请求证书的公玥,这些被CA签发机构中心签名后返回一张证书。前面我们知道了二进制文本形式的证书格式,那么为了便于用户识别证书的协议等信息,约定了一些后缀,通过后缀,用户大概就知道了证书的一些信息。der pem 是协议,又可以直接作为后缀名,让用户知道是用二进制还是文本存储的,但是具体的内容可以是证书,也可以是密钥。
openssljava keytool命令区别
weixin_30779691的博客
07-04 278
证书格式: ......... 转载于:https://www.cnblogs.com/yszzu/p/9261854.html
OpenSSL and Keytool
w923080512的专栏
09-21 196
  1、OpenSSL实践 工作中需要配置使用SSL来双向认证并通信的FTP服务器,以OpenSSLJava的keytool为例,来完成证书的制作: d:/openssl/mkcerts>openssl genrsa -out ca.key 1024 创建CA私钥Loading 'screen' into random state - donewarning, not much e...
https证书生成工具(openssljre(自带keytool)) for windows.rar
05-28
keytool是Java JRE自带的一个工具,主要用于管理密钥证书,包括生成、导入导出等操作。在生成HTTPS证书时,keytool通常用于生成JKS(Java Key Store)或PKCS12格式的证书库。 - **生成自签名证书**:可以使用`...
keytool - 密钥证书管理工具
05-30
**描述**: Keytool是Java开发的一个强大工具,用于管理密钥对(公钥私钥)以及数字证书。它可以帮助用户创建、存储、导出、导入管理这些安全组件,这对于进行安全的网络通信身份验证至关重要。 **知识点详解*...
KeytoolOpenSSL生成签发数字证书
Cswe_N
07-14 6965
 根据非对称密码学的原理,每个证书持有人都有一对公钥私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。  CA完成签发证书后,会将证书发布在CA的证书库(目...
数字证书管理工具V2.0
05-22
数字证书管理工具V2.0-使用java图形化编写,安装版直接安装使用(由于上传大小的限制,本版本为不带jre版,使用前请确保环境中已经安装过jdk) 数字证书管理工具V2.0: 包括三个视图,分别是:密钥库列表、证书库列表、证书管理维护界面;其中密钥库列表用于显示默认密钥库中的所有条目;证书库列表用于显示默认证书库中的所有数字证书;证书管理维护界面分为左右两部分,左半部分可以显示条目或者数字证书的详细信息,右半部分可以用于新建条目或者数字证书。另外,还可以对外部密钥库或者证书进行操作(V2.0新增功能)。 以下是三个视图的具体功能: =================================== 密钥库列表视图功能 1.双击条目可以在证书管理维护界面左半部分显示此条目的具体信息; 2.右击条目出现上下文操作菜单; 3.刷新条目; 4.清除屏幕; 5.查看证书; 6.签发证书; 7.修改口令; 8.生成证书; 9.导出证书; 10.删除条目; 11.导出对应密钥库; 12.导出p12个人证书; =================================== 证书库列表视图功能 1.双击证书可以在证书管理维护界面左半部分显示此证书的具体信息; 2.右击证书出现上下文操作菜单; 3.刷新证书; 4.清除屏幕; 5.查看证书; 6.公钥验证; 7.导入证书; 8.导出证书; 9.删除证书; =================================== 证书管理维护界面视图功能 1.数字证书显示界面:显示数字证书的详细信息,包括:证书信息、颁发给、颁发者、有效期、版本号、序列号、签名算法、有效期起始日期、有效期终止日期、主题、公钥、签名; 2.数字证书管理界面:新建条目或者数字证书,可输入条目或者数字证书具体的信息,包括CN(名字与姓氏)、OU(组织单位名称)、O(组织名称)、L(城市名称)、ST(省份名称)、C(国家代码)、Alia(别名)、KeyAlg(加密算法)、Validity(有效期)、生成类型; =================================== 对外部密钥库或者证书进行的操作有: 1.打开外部数字证书,查看证书详情; 2.查看外部密钥库中的所有条目,可以对其中的条目进行查看信息、生成证书、导出证书、修改口令、删除条目等操作; 3.将已签名的数字证书导入到密钥库中 ============================================================================ ==================================================================================================================================================================================================================================== 数字证书管理工具V1.0,广西大学计算机与电子信息学院 数字证书管理工具V1.0: 包括三个视图,分别是:密钥库列表、证书库列表、证书管理维护界面;其中密钥库列表用于显示默认密钥库中的所有条目;证书库列表用于显示默认证书库中的所有数字证书;证书管理维护界面分为左右两部分,左半部分可以显示条目或者数字证书的详细信息,右半部分可以用于新建条目或者数字证书。 以下是三个视图的具体功能: =================================== 密钥库列表视图功能 1.双击条目可以在证书管理维护界面左半部分显示此条目的具体信息; 2.右击条目出现上下文操作菜单; 3.刷新条目; 4.清除屏幕; 5.查看证书; 6.签发证书; 7.修改口令; 8.生成证书; 9.导出证书; 10.删除条目; =================================== 证书库列表视图功能 1.双击证书可以在证书管理维护界面左半部分显示此证书的具体信息; 2.右击证书出现上下文操作菜单; 3.刷新证书; 4.清除屏幕; 5.查看证书; 6.公钥验证; 7.导入证书; 8.导出证书; 9.删除证书; =================================== 证书管理维护界面视图功能 1.数字证书显示界面:显示数字证书的详细信息,包括:证书信息、颁发给、颁发者、有效期、版本号、序列号、签名算法、有效期起始日期、有效期终止日期、主题、公钥、签名; 2.数字证书管理界面:新建条目或者数字证书,可输入条目或者数字证书具体的信息,包括CN(名字与姓氏)、OU(组织单位名称)、O(组织名称)、L(城市名称)、ST(省份名称)、C(国家代码)、Alia(别名)、KeyAlg(加密算法)、Validity(有效期)、生成类型; (由于上传大小的限制,本版本为不带jre版,使用前请确保环境中已经安装过jdk)
数字证书管理工具
02-16
数字证书管理工具
openssl+keytool+tomcat自签名证书
07-24
openssl+keytool+tomcat自签名证书
数字证书管理工具V1.0
05-22
数字证书管理工具V1.0-使用java图形化编写,安装版直接安装使用(由于上传大小的限制,本版本为不带jre版,使用前请确保环境中已经安装过jdk) 数字证书管理工具V1.0: 包括三个视图,分别是:密钥库列表、证书库列表、证书管理维护界面;其中密钥库列表用于显示默认密钥库中的所有条目;证书库列表用于显示默认证书库中的所有数字证书;证书管理维护界面分为左右两部分,左半部分可以显示条目或者数字证书的详细信息,右半部分可以用于新建条目或者数字证书。 以下是三个视图的具体功能: =================================== 密钥库列表视图功能 1.双击条目可以在证书管理维护界面左半部分显示此条目的具体信息; 2.右击条目出现上下文操作菜单; 3.刷新条目; 4.清除屏幕; 5.查看证书; 6.签发证书; 7.修改口令; 8.生成证书; 9.导出证书; 10.删除条目; =================================== 证书库列表视图功能 1.双击证书可以在证书管理维护界面左半部分显示此证书的具体信息; 2.右击证书出现上下文操作菜单; 3.刷新证书; 4.清除屏幕; 5.查看证书; 6.公钥验证; 7.导入证书; 8.导出证书; 9.删除证书; =================================== 证书管理维护界面视图功能 1.数字证书显示界面:显示数字证书的详细信息,包括:证书信息、颁发给、颁发者、有效期、版本号、序列号、签名算法、有效期起始日期、有效期终止日期、主题、公钥、签名; 2.数字证书管理界面:新建条目或者数字证书,可输入条目或者数字证书具体的信息,包括CN(名字与姓氏)、OU(组织单位名称)、O(组织名称)、L(城市名称)、ST(省份名称)、C(国家代码)、Alia(别名)、KeyAlg(加密算法)、Validity(有效期)、生成类型; (由于上传大小的限制,本版本为不带jre版,使用前请确保环境中已经安装过jdk)
数字证书工具
06-21
自信的证书制作工具最新165版本,创建个人pfx证书,内网测试使用很方便。
opensslkeytool工具使用手册
lihuayong的专栏
05-01 2667
1 DSA应用 1.1. 生成DSA参数集 生成1024位DSA参数集,并输出到文件dsaparam.pem。 $ openssl dsaparam -out dsaparam.pem 1024 1.2. 生成私钥 使用参数文件dsaparam.pem生成DSA私钥匙,采用3DES加密后输出到文件dsaprivatekey.pem。 $ openssl gendsa -out dsap
keytool openssl
xiaozhegaa的博客
11-10 698
keytool工具使用 位置: D:\JavaEnvironment\jdk1.8.0\bin 常用命令: 生成keypair keytool -genkeypair keytool -genkeypair -alias lisi(后面部分是为证书指定别名,否则采用默认的名称为mykey) 看看keystore中有哪些项目: keytool -list或keytool -list -v keytool -exportcert -alias lisi -file lisi.cer 生成可打印的证书: k
SSL-用KeytoolOpenSSL生成签发数字证书
企业级互联网应用
04-03 249
转自: http://zhouzhk.iteye.com/blog/136943 [b]生成server端证书[/b] 1)生成KeyPair生成密钥对 keytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keysto...
KeyToolOpenSSL生成证书
Laiix的博客
06-23 986
原文地址:http://www.eussi.top/view/27 KeyTool public class _01_Keytool { /** * passwd:123456 * 1. 构建自签名证书 #构建证书前,生成密钥对,即基于一种非对称加密的公私钥 C:\Users\wangxueming&gt...
数字证书生成与签发指南:KeytoolOpenSSL
本资源主要涉及数字证书的生成签发过程,尤其着重于使用KeytoolOpenSSL这两个工具。数字证书是互联网安全中非常关键的组成部分,用于确保数据传输的安全性、完整性以及身份的验证。在本资源中,将会详细讲解数字...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值