配置可信任的数字证书的方法

最新推荐文章于 2025-05-05 22:53:49 发布
最新推荐文章于 2025-05-05 22:53:49 发布
阅读量3.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: tomcat string import algorithm calendar exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zn01611/article/details/7594831
本文介绍如何使用Java代码实现数字证书的签名,具体步骤包括:使用keytool导出可信任证书,通过CATest类使用CA的私钥对证书进行签名,并将签名后的证书存入新的或原有的证书库中。
1.D:\tomcat\apache-tomcat-6.0.16>keytool -genkey -alias abnerCA -keyalg RSA -keysize 1024 -keystore abnerCALib -validity 3650
密码:100200
姓名等等
密码:200100
2.D:\tomcat\apache-tomcat-6.0.16>keytool -list -keystore abnerCALib
密码:100200
3.D:\tomcat\apache-tomcat-6.0.16>keytool -list -v -alias abnerCA -keystore abnerCALib
密码:100200


4.D:\tomcat\apache-tomcat-6.0.16>keytool -export -alias abnerCA -file abnerCA.cer -keystore abnerCALib -storepass 100200 -rfc


5.       keytool -delete -alias abnerCA -keystore abnerCALib
        
6.D:\tomcat\apache-tomcat-6.0.16>keytool -genkey -dname "CN=sict,OU=sict,O=sict,L=sy,ST=ln,C=cn" -alias MissionCA -keyalg RSA -keysize 1024 -keystore abnerCALib -Keypass 200100 -storepass 100200 -validity 3650
7.D:\tomcat\apache-tomcat-6.0.16>keytool -genkey -dname "CN=192.168.136.42,OU=sict,O=sict,L=sy,ST=ln,C=cn" -alias abnerCA -keyalg RSA -keysize 1024 -keystore abnerCALib -keypass 200100 -storepass 100200 -validity 3650
8.D:\tomcat\apache-tomcat-6.0.16>keytool -export -alias abnerCA -file abnerCA.cer -keystore abnerCALib -storepass 100200 -rfc






运行程序


8.D:\tomcat\apache-tomcat-6.0.16>keytool -export -alias abnerCA_Signed -file abnerCA_Signed.cer -keystore abnerCALib -storepass 100200 -rfc
8的作用是变成可信任的证书

程序代码如下





import java.io.*; 
import java.security.*; 
import java.security.cert.*; 
import java.util.*; 
import java.math.*; 
import sun.security.x509.*; 
/** 
* <p>Description: 该程序根据签发者(CA)的证书信息(即CA的私钥)来对被签发者 
* 的证书进行签名,过程即是使用CA的证书和被签证书来重构形成一个新的证书</p> 
* @author abnerchai 
* @version 1.0 
*/
public class CATest { 
public static void main(String[] args) throws Exception{ 
char[] storepass = "100200".toCharArray(); 
//存放CA证书和被签证书的证书库的访问密码 
char[] cakeypass = "200100".toCharArray();//CA数字证书条目的访问密码 
String alias = "MissionCA"; 
//CA证书在证书库中的别名,这个CA的证书用来签名其它的证书 
String name = "D:\\tomcat\\apache-tomcat-6.0.16\\abnerCALib";//存放CA证书和被签证书的证书库的名字 
String newLib = "SignedLib"; 
//新证书库的名字,如果需要将签名后的证书放入新库,这是新库的名字 
char[] newLibPass = "100200".toCharArray();//设置新库的访问密码 
String cerFileName = "D:\\tomcat\\apache-tomcat-6.0.16\\abnerCA.cer";//被签证书的证书文件名 
String aliasName = "abnerCA";//被签证书在证书库中的alias别名 
char[] namePass = "200100".toCharArray(); 
//被签证书的条目在证书库的私钥密码 
int n =3; //被签证书的有效期,以年为单位,以当前时间开始计算 
int sn = 201204001; 
//序列号可自己定义,这里定义的意义为2004年6月签发,是本年度CA签发的第多少个以001计算,要求唯一 
String afteraliasName = "abnerCA_Signed"; 
//签名后新产生的被签过名的证书在库中的别名 
char[] afterNewPass = "200100".toCharArray(); 
//签名后新产生的被签过名的证书在库的条目的私钥的密码 
//装载证书库 
FileInputStream in = new FileInputStream(name); 
KeyStore ks = KeyStore.getInstance("JKS");//JKS为证书库的类型 
ks.load(in,storepass); 
//从证书库中读出签发者(CA)的证书 
java.security.cert.Certificate cl = ks.getCertificate(alias); 
//读出一个CA证书,这里的l是字母l不是数据字1 
PrivateKey privateKey = (PrivateKey)ks.getKey(alias,cakeypass); 
//根据别名和证书密码读出CA证书的私钥 
in.close(); 
//从证书库中读出的签发者(CA)的证书中提取签发者的信息 
byte[] encodl = cl.getEncoded();//提取证书的编码,这里是字母l不是数据字1 
X509CertImpl cimpl = new X509CertImpl(encodl); 
//这里是字母l不是数据字1,根据证书的编码创建X509CertImpl类型的对象 
//根据上面的对象获得X509CertInfo类型的对象,该对象封装了证书的全部内容。 
X509CertInfo cinfo_first = 
(X509CertInfo)cimpl.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); 
//然后获得X500Name类型的签发者信息 
X500Name issuer = (X500Name) 
cinfo_first.get(X509CertInfo.SUBJECT+"."+CertificateIssuerName.DN_NAME); 
//获取待签发的证书,即获取被签发者的证书 
//可从密钥库中获取,也可从导出的证书文件中获取,这里给出两种方式   //////////////////////////////////////////////////////////////////////// 
//方式一、采用从导出的cer文件中获取 start 
/////////////////////////////////////////////////////////////////////////////// 
/* 
  CertificateFactory cf = CertificateFactory.getInstance("X.509"); 
  //X.509是使用最多的一种数字证书标准 
  FileInputStream in2 = new FileInputStream(cerFileName);//被签证书文件 
  java.security.cert.Certificate c2 = cf.generateCertificate(in2); 
  //生成需要被签的证书 
  in2.close(); 
  byte[] encod2 = c2.getEncoded(); 
  X509CertImpl cimp2 = new X509CertImpl(encod2); 
  //获得被签证书的详细内容,然后根据这个证书生成新证书 
  X509CertInfo cinfo_second = 
   (X509CertInfo)cimp2.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); 
*/ 
/////////////////////////////////////////////////////////////////////////////// 
//end 方式一 
/////////////////////////////////////////////////////////////////////////////// 
/////////////////////////////////////////////////////////////////////////////// 
//方式二、从证书库中读出被签的证书 start 
/////////////////////////////////////////////////////////////////////////////// 
java.security.cert.Certificate c3 = ks.getCertificate(aliasName); 
//从证书库中读出被签证书,然后生成新的证书 
byte[] encod3 = c3.getEncoded(); 
X509CertImpl cimp3 = new X509CertImpl(encod3); 
X509CertInfo cinfo_second = 
(X509CertInfo)cimp3.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); /////////////////////////////////////////////////////////////////////////// 
//end方式二 
/////////////////////////////////////////////////////////////////////////// //设置新证书的有效期,使之为当前向后n年有效,新证书的 
//截止日期不能超过CA证书的有效日期 
Date beginDate = new Date(); 
Calendar cal = Calendar.getInstance(); 
cal.setTime(beginDate); 
cal.add(cal.YEAR,n); 
Date endDate = cal.getTime(); 
CertificateValidity cv = new CertificateValidity(beginDate,endDate); 
cinfo_second.set(X509CertInfo.VALIDITY,cv); 
//设置新证书的序列号 
CertificateSerialNumber csn = new CertificateSerialNumber(sn); 
cinfo_second.set(X509CertInfo.SERIAL_NUMBER,csn); 
//设置新证书的签发者 
cinfo_second.set(X509CertInfo.ISSUER+"."+CertificateIssuerName.DN_NAME,issuer); 
//新的签发者是CA的证书中读出来的 
//设置新证书的算法,指定CA签名该证书所使用的算法为md5WithRSA 
AlgorithmId algorithm = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid); 
cinfo_second.set(CertificateAlgorithmId.NAME+"."+ 
CertificateAlgorithmId.ALGORITHM,algorithm); 
//创建新的签名后的证书 
X509CertImpl newcert = new X509CertImpl(cinfo_second); 
//签名,使用CA证书的私钥进行签名,签名使用的算法为MD5WithRSA 
newcert.sign(privateKey,"MD5WithRSA");//这样便得到了经过CA签名后的证书 
//把新证书存入证书库 
//把新生成的证书存入一个新的证书库,也可以存入原证书库, 
//存入新证书库,则新证书库中不仅包含原证书库中的所有条目, 
//而且新增加了一个这次产生的条目。注意,这时,新产生的签名后的证书只 
//包括公钥和主体信息及签名信息,不包括私钥信息。这里给出两种方式。 
/////////////////////////////////////////////////////////////////////////// 
//方式一:存入新密钥库 
/////////////////////////////////////////////////////////////////////////// 
/* 
ks.setCertificateEntry(afteraliasName,newcert); 
FileOutputStream out = new FileOutputStream(newLib); 
//存入新库signedLib,并设置新库的库访问密码 
ks.store(out,newLibPass); 
out.close(); 
*/
/////////////////////////////////////////////////////////////////////////// 
//end 方式一 
/////////////////////////////////////////////////////////////////////////// 
//也可以采用另外一种方式,存入原证书库中 
//存入原库中,即在原证书库中增加一条证书,这个证书是原证书经过签名后的证书 
//这个新证书含有私钥和私钥密码 
/////////////////////////////////////////////////////////////////////////// 
//方式二,存入原密钥库 
/////////////////////////////////////////////////////////////////////////// 
//先在原库中读出被签证书的私钥 
PrivateKey prk = (PrivateKey)ks.getKey(aliasName,namePass); 
java.security.cert.Certificate[] cchain = {newcert}; 
//存入原来的库,第二个参数为原证书的私钥,第三个参数为新证书的私钥密码,第三个参数为新证书 
ks.setKeyEntry(afteraliasName,prk,afterNewPass,cchain); //用新密钥替代原来的没有签名的证书的密码 
FileOutputStream out2 = new FileOutputStream(name); 
ks.store(out2,storepass);//存入原来的库中,第二个参数为该库的访问密码 
/////////////////////////////////////////////////////////////////////////// 
//end 方式二 
/////////////////////////////////////////////////////////////////////////// 

}



实训5:配置数字证书服务.docx
06-05
主要有:1.在DC上部署企业根CA。2.发布证书申请网站。3、设置证书颁发机构Web注册网站-。。。。。还有一些就不描述了。。有截图和详细步骤讲解
实训:配置数字证书服务.docx
12-26
实训环境 1.一台Windows Server 2016 DC,主机名为DC。 2.一台Windows Server 2016服务器并加入域,主机名为Server1。 3.一台Windows 10客户端并加入域,主机名为Win10。 实训操作 假设你是一家公司的网站管理员,需要你完成以下工作: 1.在DC上部署企业根CA。 2.发布证书申请网站。 3.在Server1上创建基于SSL的网站。
数字证书服务器配置
04-14
劫色数字证书服务器的配置应用过程,内容简单,可以初步了解一下。
数字证书的可信
u011893782的博客
05-31 2379
PKI公钥基础设施通过建设信任根,结合数字证书,实现了可信身份。通过数字证书技术,可以实现数字签名、数据加密。 数字证书的可信 数字证书的可信基于可信根对用户身份的核验,确认信息和用户身份匹配,颁发给用户一个数字凭证,这个数字凭证即为数字证书。 1.用户基于公钥算法生成公钥和私钥,公钥算法也被称作非对称密钥算法。公钥算法区别于对称密钥算法,加密密钥和解密密钥不是一个,用公钥加密的数据,必须用私钥才能进行解密。并且用私钥加密的数据,用私钥也是不能解密,必须由对应的公钥进行解密。 对应日常信息,如何.
CA数字证书服务的配置、搭建安全的WEB服务器、安全的邮件服务器
weixin_34090643的博客
10-24 795
1.什么是数字证书 数字证书在网络上类似于人在社会上持有的***等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络***”,用来在网络上证明自己的身份。2.数字证书上面主要包括那些信息? 数字证书上面主要包括以下信息:证书版本号、证书持有者信息、证书签发者(...
WindowsCA证书服务器配置申请说明数字证书.doc
最新发布
07-09
本文档详细介绍了如何在Windows环境下通过证书颁发机构(Certificate Authority,简称CA)服务器配置并申请数字证书。首先,用户需要通过IE浏览器访问CA服务器的地址,进入服务主页。接下来,用户可以选择申请不同...
解决无法将这个证书验证到一个受信任证书颁发机构方法
11-14
当系统提示"无法将这个证书验证到一个受信任证书颁发机构"时,这通常意味着系统无法确认数字证书的合法性。这可能是由于多种原因引起的,包括但不限于证书链不完整、证书过期、证书被篡改或系统缺少必要的根证书。...
WindowsCA证书服务器配置申请数字证书.doc
05-14
Windows证书服务器(CA配置数字证书申请指南涵盖了从输入服务地址开始到最终获取数字证书的一系列步骤。首先,用户需要在IE浏览器的地址栏输入证书服务系统的网址,以访问服务主页。进入主页后,用户需点击...
金报税盘税务数字证书驱动2.3.0.13.zip
04-02
1. **数字证书**:数字证书是网络安全领域的一个关键概念,它是一种由受信任的第三方机构(也称为证书颁发机构,CA)颁发的电子文件,用于证明网络实体的身份。在本场景中,数字证书用于验证企业或个人在报税过程中...
[实操篇]数字证书制作与HTTPS部署
Z1224403748的博客
09-04 1651
实验内容:安装和配置Active Directory证书服务(AD CS)以及IIS(Internet 信息服务)来生成和部署数字证书,以便在网站上实现安全的HTTPS通信。这⼀过程涵盖了从配置网络基础设施、安装证书服务,到生成和部署证书的各个步骤
利用keytool生成数字证书
08-30
利用keytool生成数字证书。.bat文件。配置好java环境变量后,直接运行即可。非常简单。
Windows IIS服务器SSL数字证书安装指南
qq_38737945的博客
04-23 3454
安装之前的准备:签发证书,整合数字证书,并转成PFX格式。一旦您申请的SSL证书成功签发,签发机构Comodo会通过附件将数字证书发送到您的邮箱。附件包含4个证书文件,您需要按照1-2-3-4顺序将文件内容拷贝到一个文本文件,然后保存为CRT文件。然后将CRT文件和Key文件转换成PFX。Windows2003 - Microsoft IIS Version 6.01.首先,将PFX文件复制到服务...
搭建个人博客(四)--配置SSL证书
前端学习笔记
02-21 1183
配置SSL证书 在搭建个人博客(一)–Hexo搭建个人博客中我们已经搭建了属于自己的blog,在搭建个人博客(二)–Hexo编辑器选择中我们已经安装了hexo的编辑器,在搭建个人博客(三)–Themes更换中我们已经更换了themes,现在我们来配置SSL证书。 首先说明,我的服务器和域名都是在阿里云购买的,如果是在其它平台购买的服务器可能与我下面的配置不一样。 1.首先进入SSL证书管理选择购买...
从零搭建属于自己的博客——Step3 SSL证书
PulSe_kun的博客
02-28 209
前言:对于浏览器,http 80端口和https 443端口是可以省略。接上一节,现在要实现https+域名+443 访问自己刚建立的博客网站。
阿里云博客配置ssl证书
weixin_45826188的博客
06-14 517
在我们的博客搭建好了之后呢,通过域名访问会提示不安全,那么怎么解决这个问题呢。我们可以通过对我们的域名申请ssl证书来解决。前提:你得买一个域名,并且进行备案。在阿里云官网去申请ssl证书,如果域名是在阿里云购买的话,可以直接自动DNS验证申请ssl证书,最多可以申请20个免费的ssl证书。申请完成证书之后,下载nginx证书文件。在开始之前我们要保证etc/ssl目录存在,用于保存我们的私钥和证书文件。没有则新建目录etc/ssl 编辑nginx的配置文件 需要调整以下参数或者直接应用配置文件中的模板,依
什么是 CA?什么是 CA 证书?——一篇彻底搞懂 TLS 信任
侯仕奇的博客
05-05 1566
在 HTTPS/TLS 体系中,我们常听到CA证书中间证书等概念。它们既相关又容易混淆。CA(Certificate Authority)= 实体/机构CA 证书CA Certificate)= 证明该机构身份 & 公钥的数字证书术语自签名CA = TRUE预装系统主要职责根 CA证书✓✓✓信任锚中间 CA证书✗✓✗日常签发服务器证书✗✗✗证明网站身份一句话记忆CA 是人,CA 证书是人的身份证;
CA 根目录证书不受信任。要启用信任,请将该证书安装到“受信任的根证书颁发机构“存储区。
CDSN大帝的专栏
08-19 8458
当你遇到“此 CA 根目录证书不受信任”的错误时,通常意味着你正在访问的网站或服务使用的SSL/TLS证书是由一个不受你当前系统或浏览器信任证书颁发机构(CA)签发的。为了建立信任,你需要将该CA的根证书安装到你的系统或浏览器的“受信任的根证书颁发机构”存储区中。
发布https网页?用cpolar轻松做到
09-09 1188
在DNS解析页面,我们主要填的内容就是记录类型(选择TXT),主机记录(填www)和记录值(申请域名绑定证书时生成的那一串复杂字符)三项,通常这三项会自动填入(不换账号情况下),在确认信息无误后,直接点击下方的“确认”按钮。在证书购买完成后,我们会自动跳转回上一级页面,这时我们就能看到“创建证书”按钮已经显示出“20/20”(即拥有20张证书,其中20张未使用),点击“创建证书”按钮,将我们的域名与证书绑定在一起。递交证书绑定申请后,我们转回阿里云工作台,找到云解析DNS按钮,对DNS进行解析。
手把手教你免费配置SSL数字证书
m0_62351105的博客
07-25 1193
这篇文章适用于小白这篇文章和上篇文章有些关系需要你注册的域名,需要你的服务器安装宝塔面板,需要在宝塔面板添加站点,可以见上篇文章后半部分(从安装宝塔面板开始)一、免费申请SSL证书这里我们用阿里云申请SSL证书,打开阿里云https,登陆后在产品选择数字证书管理服务(原SSL证书),进去后点击选购证书,左侧点击SSL证书,选择免费证书,点击立即购买,只要看右下角是免费的就好,点击购买.........
JAVA 导入信任证书 (Keytool 的使用)
热门推荐
羽空间
11-27 5万+
文章目录1. 问题背景2. 诊断方式3. 解决方式1). 列出 keystore 中的证书。2). 导入证书。4.附加内容:如何获取一个网站的证书 1. 问题背景 使用 ssl 连接时,遇到不信任证书,应用程序一般都会拒绝连接。 浏览网站时,我们可以通过在浏览器的设置中导入证书,把证书加入到信任列表中。 而在 JAVA 直接进行 SSL 连接应用时,默认没有一个界面来导入证书。JAVA 进行不信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值