keytool和openssl的区别

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了keytool和openssl的区别相关的知识,希望对你有一定的参考价值。

参考技术A 在数字证书使用过程中,会遇到签发证书问题,一般来说,有3个解决方法:
1.交由受信任的第三方证书颁发机构签名;
2.自签名;
3.自制CA证书并用其签名。
对于上线运营的网站来说,第一个方案是首选,因为只有这样浏览器才不会报警。过去买证书很贵,现在倒是有免费的了,比如IE和Firefox都支持的StartSSL。
不同的证书颁发机构对于证书生成多少都会有自己的要求,所以本文主要讨论后两种方案。
下面用OpenSSL生成CA签名的证书,用Keytool生成CSR(Certificate Signing Request)。

一、准备
1)在工作目录下新建目录 demoCA、demoCA/private、demoCA/newcerts
2) 在demoCA建立一个空文件 index.txt
3) 在demoCA建立一个文本文件 serial, 没有扩展名,内容是一个合法的16进制数字,例如 0000
4) 配置环境变量PATH,加入%JAVA_HOME%/bin,本文用的JavaSDK1.6

二、生成CA的自签名证书
openssl req -new -x509 -keyout ca.key -out ca.cer -days 3650 -config openssl.cnf
req命令表示创建证书,new参数表示创建私钥而不是从已存在的文件中读取,nodes参数表示不加密私钥。如果不添加nodes参数,以后每次使用私钥时都必须输入密码(如Apache每次重启)
openssl.cnf在openssl压缩包的share目录下

输入证书信息时,Country Name填入CN,Common Name输入单位名称,即最后显示的颁发者
三、生成server端证书
这步使用的是JDK的keytool工具
1) 生成KeyPair生成密钥对
keytool -genkeypair -alias server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore server.keystore
输入common name时,要和服务器的域名保持一致。
2) 生成证书签名请求
keytool -certreq -alias server -sigalg MD5withRSA -file server.csr -keypass 123456 -storepass 123456 -keystore server.keystore

四、使用OpennSSL签发证书
openssl ca -in server.csr -out server.cer -cert ca.cer -keyfile ca.key -notext -config openssl.cnf
其中-notext表示不要把证书文件的明文内容输出到文件中去,否则在后面用keytool导入到keystore时会出错。
在签名时,如果报“The stateOrProvinceName field needed to be the same in the CA certificate”,是因为在openssl.cfg中的policy_match里面的前三个都选了match,修改成
stateOrProvinceName = optional
organizationName = optional
就可以了

五、导回签发后的证书
1) 导入信任的CA根证书到keystore
keytool -importcert -v -trustcacerts -alias ca_root -file ca.cer -storepass 123456 -keystore server.keystore
2) 把CA签名后的server端证书导入keystore
keytool -importcert -v -alias server -file server.cer -storepass 123456 -keystore server.keystore
3) 查看server端证书
keytool -list -v -keystore server.keystore
可以看到tomcat_server的证书链长度是2
报failed to update database
TXT_DB error number 2
错误时
产生的原因是:
This thing happens when certificates share common data. You cannot have two certificates that look otherwise the same.

方法一:
修改demoCA下 index.txt.attr,将
unique_subject = yes 改为
unique_subject = no

方法二:
删除demoCA下的index.txt,并再touch下
rm index.txt
touch index.txt

方法三:
将 common name设置成不同的

单独生成私钥
openssl genrsa -des3 -out class1.key

生成请求文件
openssl req -new -days 365 -key class1.key -out class1.csr -config openssl.cnf

如果运行签发的证书再做为CA,那么在ca签名时加上
-extensions v3_ca

Java Keytool jdk/jre 64/32bit - 有区别吗?

【中文标题】Java Keytool jdk/jre 64/32bit - 有区别吗?【英文标题】:Java Keytool jdk/jre 64/32bit - Is there a difference? 【发布时间】:2014-02-19 09:29:19 【问题描述】:

我注意到,我的计算机上有 Java 4 不同的 Keytool.exe(和 jarsigner.exe)。 对于 Java 64 位或 32 位以及 jdk 和 jre 目录中的任何一个。

我用哪一个来签署我的罐子有什么区别吗?

【问题讨论】:

【参考方案1】:

不,功能是一样的。它只是包含在 jre 和 jdk 中,如果你碰巧有几个,你就会有几个 keytool.exe。

【讨论】:

以上是关于keytool和openssl的区别的主要内容,如果未能解决你的问题,请参考以下文章

用openssl 和 keytool 生成 SSL证书

Openssl and Keytool Example

Java Keytools 证书转换成Openssl 的PEM 文件或keytools 导出私钥文件

jdk自带keytool生成ssl证书安全吗

keytool的一些命令

SSL 证书基本概念扫盲