JDK自带工具keytool生成ssl证书

前言：

由于公司项目客户要求使用HTTPS的方式来保证数据的安全，因此木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。

百度了很多资料，看到JAVA的JDK自带生成SSL证书的工具：keytool，外加看了同事的心得体会，本身总结了一下具体的使用方法和使用过程当中发现的问题及解决办法。

 

1:什么是HTTPS？

HTTPS实际上是有两部分组成：HTTP + SSL / TLS，

也就是在HTTP上又加了一层处理加密信息的模块，而且会进行身份的验证。

问题：

Firebug和postman之类的浏览器调试工具，为何获取到的是明文？

解答：

SSL是对传输的数据进行加密，针对的是传输过程的安全。 

firebug之类的浏览器调试工具，

由于他们获得的是客户端加密以前/解密以后的数据，所以是明文的。

2:什么是自签名证书？

就是本身生成的证书，并非官方生成的证书。

除非是很正式的项目，不然使用本身签发的证书便可，由于官方生成证书是要花钱滴。

 

3:进入正题，使用JDK自带工具KeyTool 生成自签发证书！

第一步：为服务器生成证书

打开CMD命令行工具，cd到C盘根目录或者是jdk的bin目录下，以下图所示：

使用keytool命令生成证书：

keytool 

-genkey 

-alias tomcat(别名) 

-keypass 123456(别名密码) 

-keyalg RSA(算法) 

-keysize 1024(密钥长度) 

-validity 365(有效期，天单位) 

-keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称) 

-storepass 123456(获取keystore信息的密码)

 

方便复制版：

keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

图例：

 

回车执行后以下图：

 

点击回车便可在D:/keys/文件夹内生成名为：tomcat.keystore的文件。

成功后无提示信息

注意：

①D:/keys/ 目录须要提早手动建立好，不然会生成失败

②提示输入域名的时候不能输入IP地址

 

问题①的错误信息以下：

 

 

 

第二步：为客户端生成证书

为浏览器生成证书，以便让服务器来验证它。

为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，

所以，使用以下命令生成：

keytool 

-genkey 

-alias client 

-keypass 123456

-keyalg RSA 

-storetype PKCS12 

-keypass 123456 

-storepass 123456 

-keystore D:/keys/client.p12

 

方便复制版：

keytool -genkey -alias client1 -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client1.p12 -storepass 123456

图例：

 

第二步余下操做步骤同第一步。

 

第三步：让服务器信任客户端证书

一、

因为不能直接将PKCS12格式的证书库导入，

必须先把客户端证书导出为一个单独的CER文件，使用以下命令：

keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

注意：

Keypass：指定CER文件的密码，但会被忽略，而要求从新输入

二、

将该文件导入到服务器的证书库，添加为一个信任证书：

keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

e -storepass 123456

图例：

 

完成以后经过list命令查看服务器的证书库，

能够看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

keytool -list -v -keystore D:/keys/tomcat.keystore

 

第四步：让客户端信任服务器证书

一、

因为是双向SSL认证，客户端也要验证服务器证书，

所以，必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。

因为不能直接将keystore格式的证书库导入，

必须先把服务器证书导出为一个单独的CER文件，使用以下命令：

keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat6 -file D:/keys/server.cer

 

//把服务端添加为客户端信任
"%JAVA_HOME%\bin\keytool" -import -v -file D:\Youxun\server.cer -keystore D:\Youxun\hc.p12
"%JAVA_HOME%\bin\keytool" -list -v -keystore D:\Youxun\hc.p12
C:\Users\17M38332>"%JAVA_HOME%\bin\keytool" -list -v -keystore D:\Youxun\hc.p12

 

 

二、

双击server.cer文件，按照提示安装证书，

将证书填入到“受信任的根证书颁发机构”。

填入方法：

打开浏览器   - 工具  -  internet选项-内容- 证书-把中级证书颁发机构里的www.localhost.com(该名称即时你前面生成证书时填写的名字与姓氏)证书导出来-再把导出来的证书导入  受信任的根颁发机构  就OK了。

 

第五步：配置Tomcat服务器

<Connector  port="8443"

protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"

maxThreads="150"

scheme="https"

secure="true"

clientAuth="true"

sslProtocol="TLS"

keystoreFile="D:/keys/tomcat.keystore"

keystorePass="123456"

truststoreFile="D:/keys/tomcat.keystore"

truststorePass="123456" />

 

属性说明：

clientAuth:设置是否双向验证，默认为false，设置为true表明双向验证

keystoreFile:服务器证书文件路径

keystorePass:服务器证书密码

truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书

truststorePass:根证书密码

 

注意：

① 设置clientAuth属性为True时，须要手动导入客户端证书才能访问。

② 要访问https请求 须要访问8443端口，访问http请求则访问Tomcat默认端口（你本身设置的端口，默认8080）便可。

 

 

总结：

通过以上五步，你使用HTTPS 端口为8443 进行访问的时候 就是通过SSL信息加密，不怕被截获了。

通话的双方，必须是都拥有证书的端，才能进行会话，换句话说，就是只有安装了咱证书的客户端，才能与服务器通讯。

 

小贴士：

强制 https 访问

在 tomcat /conf/web.xml 中的 </welcome- file-list> 后面加上这

1. <login-config>    
2. <!-- Authorization setting for SSL -->    
3. <auth-method>CLIENT-CERT</auth-method>    
4. <realm-name>Client Cert Users-only Area</realm-name>    
5. </login-config>    
6. <security-constraint>    
7. <!-- Authorization setting for SSL -->    
8. <web-resource-collection >    
9. <web-resource-name >SSL</web-resource-name>    
10. <url-pattern>/*</url-pattern>    
11. </web-resource-collection>    
12. <user-data-constraint>    
13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>    
14. </user-data-constraint>    
15. </security-constraint> 

 

完成以上步骤后，在浏览器中输入http的访问地址也会自动转换为https了。

 

 

 

 

 

 

 

 

 

 

 

 

 

附录1:

keytool经常使用命令 

-alias       产生别名 

-keystore    指定密钥库的名称(就像数据库同样的证书库，能够有不少个证书，cacerts这个文件是jre自带的， 

             你也可使用其它文件名字，若是没有这个文件名字，它会建立这样一个) 

-storepass   指定密钥库的密码 

-keypass     指定别名条目的密码 

-list        显示密钥库中的证书信息 

-v           显示密钥库中的证书详细信息 

-export      将别名指定的证书导出到文件 

-file        参数指定导出到文件的文件名 

-delete      删除密钥库中某条目 

-import      将已签名数字证书导入密钥库 

-keypasswd   修改密钥库中指定条目口令 

-dname       指定证书拥有者信息 

-keyalg      指定密钥的算法 

-validity    指定建立的证书有效期多少天 

-keysize     指定密钥长度 

 

使用说明： 

导入一个证书命令能够以下： 

keytool -import -keystore cacerts -storepass 666666 -keypass 888888 -alias alibabacert -file C:\alibabajava\cert\test_root.cer 

其中-keystore cacerts中的cacerts是jre中默认的证书库名字，也可使用其它名字 

-storepass 666666中的666666是这个证书库的密码 

-keypass 888888中的888888是这个特定证书的密码 

-alias alibabacert中的alibabacert是你导入证书的别名，在其它操做命令中就可使用它 

-file C:\alibabajava\cert\test_root.cer中的文件路径就是要导入证书的路径 

 

浏览证书库里面的证书信息，可使用以下命令： 

keytool -list -v -alias alibabacert -keystore cacerts -storepass 666666 

 

要删除证书库里面的某个证书，可使用以下命令： 

keytool -delete -alias alibabacert -keystore cacerts -storepass 666666 

 

要导出证书库里面的某个证书，可使用以下命令： 

keytool -export -keystore cacerts -storepass 666666 -alias alibabacert -file F:\alibabacert_root.cer 

 

要修改某个证书的密码（注意：有些数字认证没有私有密码，只有公匙，这种状况此命令无效） 

这个是交互式的，在输入命令后，会要求你输入密码 

keytool -keypasswd -alias alibabacert -keystore cacerts 

这个不是交互式的，输入命令后直接更改 

Keytool -keypasswd -alias alibabacert -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts