生成证书流程

先上一张图，这张图就是用openssl生成证书的整个流程了，如何看这个图呢？

这个图有A、B、C三个部分，分别用三种颜色框选了一下，A部分是CA机构根证书的生成过程，这个过程需要先生成CA机构的私钥，再由CA机构的私钥生成CA机构证书申请文件，然后再由这两个文件生成根证书。

B部分是生成服务器私钥，然后由服务器私钥生成服务器证书申请文件。

C部分是最后一部分，也就是生成服务器的公钥证书，服务器的公钥证书需要三部分一起来生成，A部分的CA机构的私钥，CA机构的申请证书文件，B部分的服务器证书申请文件，这三部分一起来生成服务器的公钥证书。

所谓JKS（Java Key Store）就是利用Java Keytool 工具生成的Keystore文件（文件后缀：*.jks *.keystore 或无后缀），JKS文件由公钥和私钥构成，其中的公钥就是我们所说的证书，即cer为后缀的文件，而私钥就是密钥，即以key为后缀的文件。可以通过Keytool结合Openssl提取jks文件的公钥和私钥。jks格式的证书主要使用与JAVA程序。

OpenSSL 可以生成自签证书 适用范围更广

==keytool没办法签发证书，而openssl能够进行签发和证书链的管理==

方式1 使用openssl 生成证书

生成 CA证书

1. 生成CA机构的私钥

openssl genrsa -out ca.key 1024

2. 生成CA机构自己的证书申请文件

openssl req -new -key ca.key -out ca.csr

3. 生成自签名证书，CA机构用自己的私钥和证书申请文件生成自己签名的证书，俗称自签名证书，这里可以理解为根证书。

openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

生成服务器证书

4. 生成服务器私钥。

openssl genrsa -out server.key 1024

5. 根据服务器私钥文件生成证书请求文件，这个文件中会包含申请人的一些信息，所以执行下面这行命令过程中需要用户在命令行输入一些用户信息。可以通过con name 绑定域名。

openssl req -new -key server.key -out server.csr

6. 根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器的证书申请文件server.csr生成服务端证书。

openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

上面的过程其实是模拟了各大https证书厂商生成https证书的过程，其中涉及到了根证书等等一些概念，如果你不是太明白也没有关系，我们还有B方案，我只想要证书，不想搞得太深，那么请使用如下方法，简便快捷。

只需要三步：

## 第一步，生成服务器私钥：

openssl genrsa -out server.key 1024

## 第二步，根据私钥和输入的信息生成证书请求文件：

openssl req -new -key server.key -out server.csr

## 第三步：用第一步的私钥和第二步的请求文件生成证书：

openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

这样我们就拿到了私钥server.key和证书server.crt。

为什么第二种方式比第一种简单并且步骤还少呢?这里简单介绍一下，第一种方式是模拟https厂商生成https证书的简易过程，https证书厂商一般都会有一个根证书，这里我们模拟生成了https厂商根证书，也就是第一种方法的1、2、3步骤。

在实际应用中，这些步骤对用户来说是不可见的，这里只是简单模拟，通常证书申请用户只需要将服务器的公钥(注意不是私钥)和服务器证书申请文件交给https证书厂商即可，之后https厂商会通过邮件回复一个服务器公钥证书，拿到这个证书和自己生成的服务器私钥就可以搭建https应用了。

第二种方法比较简单，是因为我们自己生成证书在本地测试，我们既是https厂商的角色也是用户角色，我们直接用自签名证书当做服务器证书就可以了，简单快捷，不过这里只适用于测试。

openssl生成证书供java使用

java程序使用的证书是JKS格式，因此需要将openssl生成的证书进行格式转换。
crt证书转为p12（需要输入一个密码），需要使用到上面的 server.crt server.key

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

使用keytool把p12证书转为jsk格式

keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass changeit -alias cas -deststorepass changeit -destkeypass changeit -destkeystore server.jks

生成的server.jks 可以用于springboot项目 ，applicationg.properties 配置参考:

server.ssl.key-store=file:/etc/cas/server.jks
server.ssl.key-store-password=changeit
server.ssl.key-password=changeit

快捷方式 使用mkcert 生成证书

1. 请在管理员模式下打开Powershell 安装mkcert

Set-ExecutionPolicy Bypass -Scope Process -Force; `
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072;`
iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))

choco install mkcert -y

2. 生成证书

#创建一个用来保存证书文件的目录
mkdir -p .cert

#生成 RootCA
mkcert -install

#可以一次性为多个域名创建证书，这个非常强大
mkcert -key-file ./.cert/key.pem -cert-file ./.cert/cert.pem cvicse.com "*.cvicse.com"  localhost 127.0.0.1 ::1

方式2 使用keytool 生成证书

1、生成证书

keytool -genkey -alias cas -keyalg RSA -keysize 1024 -keypass changeit -validity 3650 -keystore  F:\etc\cas\thekeystore -storepass changeit


c) 2019 Microsoft Corporation。保留所有权利。

您的名字与姓氏是什么?
  [Unknown]:  sso.ks.com
您的组织单位名称是什么?
  [Unknown]:  sso.ks.com
您的组织名称是什么?
  [Unknown]:  sso.ks.com
您所在的城市或区域名称是什么?
  [Unknown]:  ks
您所在的省/市/自治区名称是什么?
  [Unknown]:  js
该单位的双字母国家/地区代码是什么?
  [Unknown]:  china
CN=sso.ks.com, OU=sso.ks.com, O=sso.ks.com, L=ks, ST=js, C=china是否正确?
  [否]:  y


Warning:
生成的证书 uses a 1024 位 RSA 密钥 which is considered a security risk. This key size will be disabled in a future update.

2、导出证书

keytool -export -alias cas -keystore  F:\etc\cas\thekeystore -file  F:\etc\cas\cas.crt -storepass changeit

3、把证书导入到证书信任库
使用管理员权限运行

keytool -import -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -file F:\etc\cas\cas.crt -alias cas-storepass changeit

如果你想查看证书信任库都有哪些证书，输入命令为：

keytool -list -alias cas-keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit

删除证书,输入命令为：

keytool -delete -alias cas -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit

4、修改tomcat的server.xml文件

直接新增，里面的证书路径和密码根据你自己的修改

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               keystoreFile="F:\etc\cas\thekeystore" keystorePass="changeit"
               clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"/>

5、到bin目录启动startup.bat，然后浏览器里输入https://sso.ks.com:8443/

从keystore中导出证书和私钥

导出证书一句话解决，可能需要输入密码。

1. 导出证书

 keytool -export -alias cas -keystore thekeystore -rfc -file cas.cert

导出私钥，一共分三步，中间需要输入密码。
jks文件中的私钥不能直接得到，需要通过openssl将jks文件转换成p12格式后再进行提取

2.导出私钥

2.1 得到pkcs12格式的证书

keytool -importkeystore -srckeystore thekeystore -destkeystore ck.p12 -deststoretype pkcs12

2.2 转化成pem格式的文件

openssl pkcs12 -in ck.p12 -nocerts -nodes -out cas.key

参考：
https://www.jianshu.com/p/eb52e0f5ee85
https://blog.csdn.net/qq_20967969/article/details/123443776
https://blog.csdn.net/lu_wei_wei/article/details/111264842
https://www.jianshu.com/p/5cff7accfd78

本文由博客一文多发平台 OpenWrite 发布！