使用jdk的keytool 生成CA证书的方法
2017-09-14 21:36
369 查看
一、CA证书生成设置总共分为以下5步:
步骤:1、根据java的keytool生成CA根证书,放在服务器
2、根据服务器CA根证书导出客户端证书
3、tomcat增加SSL配置
4、客户端IE浏览器导入受信任客户端证书
5、使用客户端IE浏览器通过https协议访问portal
第一步:cmd到jdk的bin目录下执行 生成CA证书
keytool -genkey -alias "cdv" -keyalg "RSA" -keystore "c:\cdv.keystore" -dname "CN=10.7.4.68 , OU=CDV.COM , O=CDV, L=BEIJING, ST=BEIJING, C=CN" -keypass 0p-0p-0p- -storepass 0p-0p-0p- -validity 730
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/0848e30945c4d053bf8d4f275b293df0.png)
第二步:根据服务器CA根证书导出客户端证书
执行keytool命令根据服务端证书导出客户端证书。keytool -export -file "c:\cdv.crt" -alias "cdv" -keystore "c:\cdv.keystore"
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/7b34f9838a164474abc2d76c67a63e31.png)
为了便于说明附录上面配置的贴图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/45534fb69c9bbce9ba3d0237dfd9e282.png)
CN= 写服务端的ip或域名,这个不能瞎写,需和客户端https访问的ip或域名 一致 否则导致证书校验失败,OU= O= L= ST= C= 可以随便写,validity 是证书有效期 默认是 90天,730 等于2年
第三步: tomcat的server.xml加配置
tomcat的server.xml加SSL配置。<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="c:\cdv.keystore" keystorePass="0p-0p-0p-" />
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/c40fd1ddf8ab08b0e5b237537005980e.png)
为了便于说明附录上面配置的贴图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/af1cf95e2c6970b7a46c39e897c4cb1e.png)
服务端证书位置 需 和 tomcat的server.xml 配置一致,根据服务端证书导出的 cdv.crt客户端证书 需要导入到 客户端 IE浏览器 的受信任证书中(因我们自己 并非 官方CA发行机构,需人为导入到受信任证书中)
第四步:向浏览器(IE)导入受信证书
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/f36430fdc93efd358ad011f899daa6ee.png)
查了下 阿里云的CA授信价格 最便宜的是 1年5000(这钱太好挣了),CA 和 https 主要是银行登录、电子交易 这种 关键数据 传输加密用的多,其实一般的管理系统 没必要用,用https 请求明显比 http请求 慢
CA中心又称CA机构,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
相关理论知识自己百度
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/b2edb1db61698b7335eecc76fdc7b0a2.png)
二、抓包对比
8080端口抓包样例![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/8d2a1ebe614db1f0ea9f41d416a4ca34.png)
8443端口抓包样例
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/14/266e1f9e85c7fb776dd8d40a8e683640.png)
相关文章推荐
- 使用jdk中keytool生成证书
- 使用Openssl生成CA及签发证书方法
- keytool 使用:生成证书并导入JDK
- 使用jdk自带的keytool工具生成数字证书过程
- 使用Openssl生成CA及签发证书方法
- 使用JDK自带的keytool工具生成证书
- 使用jdk中keytool生成证书
- 使用jdk中keytool生成证书
- JDK 中的证书生成和管理工具 keytool
- 用Jdk自带工具keytool生成受信任的证书
- 如何使用Keytool工具生成证书Keystore和证书签名请求文件?
- MacOS openssl下生成建立CA并生成服务器和客户端证书方法
- tomcat7+jdk的keytool生成证书 配置https
- 使用JDK生成证书
- tomcat+jdk的keytool生成证书 配置https
- Mosquito使用SSL/TLS进行安全通信时的使用方法 ------生成和发布证书openssl
- tomcat5.5的SSL认证的配置(使用JDK算来keytool生成密钥)
- 用Jdk自带工具keytool生成受信任的证书
- 用openssl生成SSL使用的私钥和证书,并自己做CA签名(转)