如何使用OpenSSL创建证书

Posted 2023-02-26

参考技术A 2.生成RootCA私钥与证书：2.1先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。3.生成二级CA私钥与证书：（假如有两个二级CA，分别负责管理服务器端和客户端证书）3.1先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。3.2先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。4.生成服务器端与客户端的私钥与证书：4.1先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成三级证书。4.2先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。4.3先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。。。。可以生成N个客户端证书证书结构：RootCA||-------ServerCA||||--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------|5.导出RootCA的根证书、服务器端和客户端的私钥和证书。导出时都使用pem格式。RootCA.pem-------根证书（PEM）ServerA.pem------服务器端证书（PEMwithCertificatechain）ClientA.pem------客户端证书（PEMwithCertificatechain）ClientB.pem------客户端证书（PEMwithCertificatechain）ServerAKey.pem------服务器端私钥（PEM）ClientAKey.pem------客户端私钥（PEM）ClientBKey.pem------客户端私钥（PEM）6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能导入私钥，需要利用到weblogic提供的一个工具，需要把weblogic.jar加到CLASSPATH。6.1生成服务器和客户端的信任证书库：keytool-import-aliasrootca-fileRootCA.pem-keystoretrust.jks6.2生成服务器端身份密钥库：javautils.ImportPrivateKey-keystoreservera.jks-storepass123456-storetypeJKS-keypass123456-aliasservera-certfileServerA.pem-keyfileServerAKey.pem6.3生成客户端身份密钥库：javautils.ImportPrivateKey-keystoreclienta.jks-storepass123456-storetypeJKS-keypass123456-aliasclienta-certfileClientA.pem-keyfileClientAKey.pem生成其他客户端身份密钥库7.keytool-list-v-keystoreclienta.jks(servera.jks)可以查看其中的证书链关系。