JDK自帶工具keytool生成ssl證書

JDK自帶工具keytool生成ssl證書JDK自帶工具keytool生成ssl證書JDK自帶工具keytool生成ssl證書JDK自帶工具keytool生成ssl證書編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:JDK自帶工具keytool生成ssl證書前言：因?yàn)楣卷?xiàng)目客戶要求使用HTTPS的方式來保證數(shù)據(jù)的安全，所以木有辦法研究了下怎么生成ssl證書來使用https以保證數(shù)據(jù)安全。百度了不少資料，看到JAVA的JDK自帶生成SSL證書的工具：keytool，外加看了同事的心得體會(huì)，自己總結(jié)了一下具體的使用方法和使用過程中發(fā)現(xiàn)的問題及解決辦法。1:什么是HTTPSHTTPS其實(shí)是有兩部分組成：HTTP+SSL/TLS，也就是在HTTP上又加了一層處理加密信息的模塊，并且會(huì)進(jìn)行身份的驗(yàn)證。問題：Firebug和postman之類的瀏覽器調(diào)試工具，為什么獲取到的是明文解答：SSL是對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，針對(duì)的是傳輸過程的安全。firebug之類的瀏覽器調(diào)試工具，因?yàn)樗麄兊玫降氖强蛻舳思用苤?解密之后的數(shù)據(jù)，因此是明文的。2:什么是自簽名證書就是自己生成的證書，并不是官方生成的證書。除非是很正式的項(xiàng)目，否則使用自己簽發(fā)的證書即可，因?yàn)楣俜缴勺C書是要花錢滴。3:進(jìn)入正題，使用JDK自帶工具KeyTool生成自簽發(fā)證書！第一步：為服務(wù)器生成證書打開CMD命令行工具，cd到C盤根目錄或者是jdk的bin目錄下，如下圖所示：附錄1:常用keytool命令使用keytool命令生成證書：keytool-genkey-aliastomcat(別名)-keypass123456(別名密碼)-keyalgRSA(算法)-keysize1024(密鑰長(zhǎng)度)-validity365(有效期，天單位)-keystoreD:/keys/(指定生成證書的位置和證書名稱)-storepass123456(獲取keystore信息的密碼)方便復(fù)制版：keytool-genkey-aliastomcat-keypass123456-keyalgRSA-keysize1024-validity365-keystoreD:/keys/-storepass123456圖例：回車執(zhí)行后如下圖：點(diǎn)擊回車即可在D:/keys/文件夾內(nèi)生成名為：的文件。成功后無提示信息注意：①D:/keys/目錄需要提前手動(dòng)創(chuàng)建好，否則會(huì)生成失?、谔崾据斎胗蛎臅r(shí)候不能輸入IP地址問題①的錯(cuò)誤信息如下：第二步：為客戶端生成證書為瀏覽器生成證書，以便讓服務(wù)器來驗(yàn)證它。為了能將證書順利導(dǎo)入至IE和Firefox，證書格式應(yīng)該是PKCS12，因此，使用如下命令生成：keytool-genkey-aliasclient-keypass123456-keyalgRSA-storetypePKCS12-keypass123456-storepass123456-keystoreD:/keys/方便復(fù)制版：keytool-genkey-aliasclient1-keypass123456-keyalgRSA-keysize1024-validity365-storetypePKCS12-keystoreD:/keys/-storepass123456圖例：第二步余下操作步驟同第一步。第三步：讓服務(wù)器信任客戶端證書1、由于不能直接將PKCS12格式的證書庫導(dǎo)入，必須先把客戶端證書導(dǎo)出為一個(gè)單獨(dú)的CER文件，使用如下命令：keytool-export-aliasclient-keystoreD:/keys/-storetypePKCS12-keypass123456-fileD:/keys/注意： Keypass：指定CER文件的密碼，但會(huì)被忽略，而要求重新輸入2、將該文件導(dǎo)入到服務(wù)器的證書庫，添加為一個(gè)信任證書：keytool-import-v-fileD:/keys/-keystoreD:/keys/e-storepass123456圖例：完成之后通過list命令查看服務(wù)器的證書庫，可以看到兩個(gè)證書，一個(gè)是服務(wù)器證書，一個(gè)是受信任的客戶端證書：keytool-list-v-keystoreD:/keys/第四步：讓客戶端信任服務(wù)器證書1、由于是雙向SSL認(rèn)證，客戶端也要驗(yàn)證服務(wù)器證書，因此，必須把服務(wù)器證書添加到瀏覽器的“受信任的根證書頒發(fā)機(jī)構(gòu)”。由于不能直接將keystore格式的證書庫導(dǎo)入，必須先把服務(wù)器證書導(dǎo)出為一個(gè)單獨(dú)的CER文件，使用如下命令：keytool-keystoreD:/keys/-export-aliastomcat6-fileD:/keys/2、雙擊文件，按照提示安裝證書，將證書填入到“受信任的根證書頒發(fā)機(jī)構(gòu)”。填入方法：打開瀏覽器-工具-internet選項(xiàng)-內(nèi)容-證書-把中級(jí)證書頒發(fā)機(jī)構(gòu)里的該名稱即時(shí)你前面生成證書時(shí)填寫的名字與姓氏)證書導(dǎo)出來-再把導(dǎo)出來的證書導(dǎo)入受信任的根頒發(fā)機(jī)構(gòu)就OK了。第五步：配置Tomcat服務(wù)器<Connector port="8443"protocol=""SSLEnabled="true"maxThreads="150"scheme="https"secure="true"clientAuth="true"sslProtocol="TLS"keystoreFile="D:/keys/"keystorePass="123456"truststoreFile="D:/keys/"truststorePass="123456"/>屬性說明：clientAuth:設(shè)置是否雙向驗(yàn)證，默認(rèn)為false，設(shè)置為true代表雙向驗(yàn)證keystoreFile:服務(wù)器證書文件路徑keystorePass:服務(wù)器證書密碼truststoreFile:用來驗(yàn)證客戶端證書的根證書，此例中就是服務(wù)器證書truststorePass:根證書密碼注意：①設(shè)置clientAuth屬性為True時(shí)，需要手動(dòng)導(dǎo)入客戶端證書才能訪問。②要訪問https請(qǐng)求需要訪問8443端口，訪問http請(qǐng)求則訪問Tomcat默認(rèn)端口（你自己設(shè)置的端口，默認(rèn)8080）即可。總結(jié)：經(jīng)過以上五步，你使用HTTPS端口為8443進(jìn)行訪問的時(shí)候就是經(jīng)過SSL信息加密，不怕被截獲了。通話的雙方，必須是都擁有證書的端，才能進(jìn)行會(huì)話，換句話說，就是只有安裝了咱證書的客戶端，才能與服務(wù)器通信。小貼士：強(qiáng)制https訪問在tomcat/conf/中的</welcome-file-list>后面加上這<login-config><!--AuthorizationsettingforSSL--><auth-method>CLIENT-CERT</auth-method><realm-name>ClientCertUsers-onlyArea</realm-name></login-config><security-constraint><!--AuthorizationsettingforSSL--><web-resource-collection><web-resource-name>SSL</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>完成以上步驟后，在瀏覽器中輸入http的訪問地址也會(huì)自動(dòng)轉(zhuǎn)換為https了。附錄1:keytool常用命令-alias產(chǎn)生別名-keystore指定密鑰庫的名稱(就像數(shù)據(jù)庫一樣的證書庫，可以有很多個(gè)證書，cacerts這個(gè)文件是jre自帶的，你也可以使用其它文件名字，如果沒有這個(gè)文件名字，它會(huì)創(chuàng)建這樣一個(gè))-storepass指定密鑰庫的密碼-keypass指定別名條目的密碼-list顯示密鑰庫中的證書信息-v顯示密鑰庫中的證書詳細(xì)信息-export將別名指定的證書導(dǎo)出到文件-file參數(shù)指定導(dǎo)出到文件的文件名-delete刪除密鑰庫中某條目-import將已簽名數(shù)字證書導(dǎo)入密鑰庫-keypasswd修改密鑰庫中指定條目口令-dname指定證書擁有者信息-keyalg指定密鑰的算法-validity指定創(chuàng)建的證書有效期多少天-keysize指定密鑰長(zhǎng)度使用說明：導(dǎo)入一個(gè)證書命令可以如下：keytool-import-keystorecacerts-storepass666666-keypass888888-aliasalibabacert-fileC:\alibabajava\cert\其中-keystorecacerts中的cacerts是jre中默認(rèn)的證書庫名字，也可以使用其它名字-storepass666666中的666666是這個(gè)證書庫的密碼-keypass888888中的888888是這個(gè)特定證書的密碼-aliasalibabacert中的alibabacert是你導(dǎo)入證書的別名，在其它操作命令中就可以使用它-fileC:\alibabajava\cert\中的文件路徑就是要導(dǎo)入證書的路徑瀏覽證書庫里面的證書信息，可以使用如下命令：keytool-list-v-aliasalibabacert-keystorecacerts-storepass666666要?jiǎng)h除證書庫里面的某個(gè)證書，可以使用如下命令：keytool-delete-aliasalibabacert-keystorecacerts-storepass666666要導(dǎo)出證書庫里面的某個(gè)證書，可以使用如下命令：keytool-export-keystorecacerts-storepass666666-aliasalibabacert-fileF:\要修改某個(gè)證書的密碼（注意：有些數(shù)字認(rèn)證沒有私有密碼，只