keytool简单使用和tomcat双向认证
keytool命令1.生产密钥,并保存到指定keystore中
keytool -genkey -keyalg RSA -alias xj -keysize 1024-keystore myKeystore
2.查看keystore里面证书
keytool -v -list -alias test -keystore mykeystore 查看指定证书
keytool -v -list -keystore mykeystore 查看所有证书
3.从keystore里面到出证书
keytool -export -alias test -file test.cer -keystore xj.store
keytool -export -alias test -file test.cer -keystore xj.store -rfc
4.导入证书到keystore
keytool -import -alias test -file test.cer -keystore xj.store
5.删除证书从keystore
keytool -delete -alias test -keystore xj.store
6.用证书签名证书
keytool-certreq -v -alias singcert -file test.cer -keystore xj.store
实现tomcat双向认证过程
1 openssl req -new -x509 -days 18900 -sha1 -newkey rsa:1024 -keyout mas_ca.key -out mas_ca.crt
创建mas私钥和跟根证书(这个应该不由自己创建)
2 keytool -genkey -validity 3650 -keyalg RSA-alias server -keysize 1024 -keystore tomcat.store
创建服务器证书cn要和域名一样 在keystore是keyentry
3 keytool -certreq -alias server -sigalg MD5withRSA -file server.csr -keystore tomcat.store
创建服务证书请求
4 openssl ca -in server.csr -out tomcat_server.crt -notext -cert mas_ca.crt -keyfile mas_ca.key -config openssl.cnf
用ca证书和私钥签名服务器证书请求(一般由CA中心认证)
openssl ca -in server.csr -out tomcat_server.crt -notext -config openssl.cnf
这个是使用openssl中配置的ca证书
5 keytool -import -v -trustcacerts -alias mas_ca -file mas_ca.crt -keystore tomcat.store
把ca导入到keystore,当作信任证书 在keystore是trustedCertEntry
6 keytool -import -v -file tomcat_server.crt -alias server -keystore tomcat.store
把服务器导入到keystore,此时的keyEntry是有证书链的.如果直接使用keytool的import类型为trustedCertEntry,使用keytool的genkey这时是keyEntry,但是没有证书链,如果要要有证书链可以如上,先签名后用ca认证,再导入ca证书,再import
tomcat server.xml配置
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/tomcat.store" keystorePass="mas123"
truststoreFile="conf/tomcat.store" truststorePass="mas123"/>
页:
[1]