如何使用 keytool 创建证书链?
How to create a certificate chain using keytool?
我想在 java 中创建如下证书链:
ca.mycompany.com
|--asia.mycompany.com
|--india.mycompany.com
其中 ca.mycompany.com 是根证书(自签名)。
我知道这可以通过 OpenSSL 实现。但是可以用keytool实现吗?
如果没有,我可以使用 Mozilla NSS 库实现吗?
keytool documentation 中有一个示例说明如何执行此操作:
keytool -genkeypair -keystore root.jks -alias root -ext bc:c
keytool -genkeypair -keystore ca.jks -alias ca -ext bc:c
keytool -genkeypair -keystore server.jks -alias server
keytool -keystore root.jks -alias root -exportcert -rfc > root.pem
keytool -storepass <storepass> -keystore ca.jks -certreq -alias ca | keytool -storepass <storepass> -keystore root.jks -gencert -alias root -ext BC=0 -rfc > ca.pem
cat root.pem ca.pem > cachain.pem
keytool -keystore ca.jks -importcert -alias ca -file cachain.pem
keytool -storepass <storepass> -keystore server.jks -certreq -alias server | keytool -storepass <storepass> -keystore ca.jks -gencert -alias ca -ext ku:c=dig,keyEncipherment -rfc > server.pem
cat root.pem ca.pem server.pem > serverchain.pem
keytool -keystore server.jks -importcert -alias server -file serverchain.pem
您还可以使用 KeyStore Explorer:
轻松生成证书链
- 创建一个新的密钥对,这意味着创建一个自签名证书(根 CA)。
- 右键单击根 CA 证书和 select "Sign New Key Pair",这将创建子 CA 证书和密钥对。
- 右键单击子 CA 证书并再次 select "Sign New Key Pair"。
生成的链:
这是一个完美的教程,可以帮助您完成 creating certificate chain using keytool 的过程。基本上,这个过程是您需要使用来自 CA 的密钥签署证书,然后将证书安装到您创建的密钥库。
我想在 java 中创建如下证书链:
ca.mycompany.com
|--asia.mycompany.com
|--india.mycompany.com
其中 ca.mycompany.com 是根证书(自签名)。
我知道这可以通过 OpenSSL 实现。但是可以用keytool实现吗?
如果没有,我可以使用 Mozilla NSS 库实现吗?
keytool documentation 中有一个示例说明如何执行此操作:
keytool -genkeypair -keystore root.jks -alias root -ext bc:c
keytool -genkeypair -keystore ca.jks -alias ca -ext bc:c
keytool -genkeypair -keystore server.jks -alias server
keytool -keystore root.jks -alias root -exportcert -rfc > root.pem
keytool -storepass <storepass> -keystore ca.jks -certreq -alias ca | keytool -storepass <storepass> -keystore root.jks -gencert -alias root -ext BC=0 -rfc > ca.pem
cat root.pem ca.pem > cachain.pem
keytool -keystore ca.jks -importcert -alias ca -file cachain.pem
keytool -storepass <storepass> -keystore server.jks -certreq -alias server | keytool -storepass <storepass> -keystore ca.jks -gencert -alias ca -ext ku:c=dig,keyEncipherment -rfc > server.pem
cat root.pem ca.pem server.pem > serverchain.pem
keytool -keystore server.jks -importcert -alias server -file serverchain.pem
您还可以使用 KeyStore Explorer:
轻松生成证书链- 创建一个新的密钥对,这意味着创建一个自签名证书(根 CA)。
- 右键单击根 CA 证书和 select "Sign New Key Pair",这将创建子 CA 证书和密钥对。
- 右键单击子 CA 证书并再次 select "Sign New Key Pair"。
生成的链:
这是一个完美的教程,可以帮助您完成 creating certificate chain using keytool 的过程。基本上,这个过程是您需要使用来自 CA 的密钥签署证书,然后将证书安装到您创建的密钥库。