网站从建设到上线流程,顺德网站建设公司信息,怎么做全民夺宝网站,网站加入wordpressOpenSSL功能远胜于KeyTool#xff0c;可用于根证书#xff0c;服务器证书和客户证书的管理 这里使用的是Win32OpenSSL_Light-1_0_1e.exe http://www.slproweb.com/products/Win32OpenSSL.html 1#xff0c;构建根证书 构建根证书前#xff0c;需要构建随机数文件#xff0…OpenSSL功能远胜于KeyTool可用于根证书服务器证书和客户证书的管理 这里使用的是Win32OpenSSL_Light-1_0_1e.exe http://www.slproweb.com/products/Win32OpenSSL.html 1构建根证书 构建根证书前需要构建随机数文件.rand,完整命令如
openssl rand -out private/.rand 1000
rand随机数命令。这里将随机数文件输出到private目录下。-out输出文件路径1000指定来产生伪随机字节数2构建根证书私钥
openssl genrsa -aes256 -out private/ca.key.pem 2048
3,生成根证书签发申请 完成密钥构建操作后我们需要生成根证书签发申请文件ca.csr,完整命令如代码
openssl req -new -key private/ca.key.pem -out private/ca.csr -subj /CCN/STBJ/LBJ/Olesaas/OUlesaas/CN*.lesaas.cn req 产生证书签发申请命令 -new 表示新请求 -key 密钥,这里为private/ca.key.pem文件 -out 输出路径,这里为private/ca.csr文件 -subj 指定用户信息。这里使用泛域名*.lesaas.cn 得到根证书签发申请文件后我们可以将其发生给CA机构签发当然我们也可以自行签发根证书。 4签发根证书自行签发根证书
openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer
x509 签发X.509格式证书命令。 -req 表示证书输入请求。 -days 表示有效天数,这里为10000天。 -shal 表示证书摘要算法,这里为SHA1算法。 -extensions 表示按OpenSSL配置文件v3_ca项添加扩展。 -signkey 表示自签名密钥,这里为private/ca.key.pem。 -in 表示输入文件,这里为private/ca.csr。 -out 表示输出文件,这里为certs/ca.cer。 OpenSSL产生的数据证书不能再JAVA语言环境中直接使用需要将其转化为PKCS#12编码格式。 完整命令如代码 5根证书转化
openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certs/ca.cer -out certs/ca.p12
pkcs12 PKCS#12编码格式证书命令。 -export 表示导出证书。 -cacerts 表示仅导出CA证书。 -inkey 表示输入密钥,这里为private/ca.key.pem -in 表示输入文件,这里为certs/ca.cer -out 表示输出文件,这里为certs/ca.p12 个人信息交换文件PKCS#12 可以作为密钥库或信任库使用我们可以通过KeyTool查看密钥库的详细信息。 6查看密钥库信息
keytool -list -keystore d:/CA/certs/ca.p12 -storetype pkcs12 -v -storepass 123456
注意这里参数-storetype值为“pkcs12”。 我们已经构建了根证书ca.cer,我们可以使用根证书签发服务器证书和客户证书。
7构建服务器证书 服务器证书的构建与根证书构建相似首先需要构建私钥。 1构建服务器私钥
openssl genrsa -aes256 -out private/server.key.pem 2048
genrsa 产生RSA密钥命令。 -aes256 使用AES算法256位密钥对产生的私钥加密。可选算法包括DESDESedeIDEA和AES。 -out 输出路径,这里指private/server.key.pem。 这里的参数2048指RSA密钥长度位数默认长度为512位。 2生成服务器证书签发申请
openssl req -new -key private/server.key.pem -out private/server.csr -subj /CCN/STBJ/LBJ/Olesaas/OUlesaas/CNwww.lesaas.cn
req 产生证书签发申请命令 -new 表示新请求。 -key 密钥,这里为private/ca.key.pem文件 -out 输出路径,这里为private/ca.csr文件 -subj 指定用户信息,这里使用域名“www.lesaas.cn”作为用户名。 我们已经获得了根证书可以使用根证书签发服务器证书。 3签发服务器证书
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out
certs/server.cer
x509 签发X.509格式证书命令。 -req 表示证书输入请求。 -days 表示有效天数,这里为3650天。 -sha1 表示证书摘要算法,这里为SHA1算法。 -extensions 表示按OpenSSL配置文件v3_req项添加扩展。 -CA 表示CA证书,这里为certs/ca.cer -CAkey 表示CA证书密钥,这里为private/ca.key.pem -CAserial 表示CA证书序列号文件,这里为ca.srl -CAcreateserial表示创建CA证书序列号 -in 表示输入文件,这里为private/server.csr -out 表示输出文件,这里为certs/server.cer 这里我们同样需要将OpenSSL产生的数子证书转化为PKCS#12编码格式。完整命令如下 4服务器证书转换
openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12
pkcs12 PKCS#12编码格式证书命令。 -export 表示导出证书。 -clcerts 表示仅导出客户证书。 -inkey 表示输入文件,这里为private/server.key.pem -in 表示输入文件,这里为certs/ca.cer -out 表示输出文件,这里为certs/server.p12 我们已经构建了服务器证书server.cer,并可使用该证书构建基于单向认证网络 5构建客户证书 客户证书的构建与服务器证书构建基本一致首先需要构建私钥。 产生客户私钥
openssl genrsa -aes256 -out private/client.key.pem 2048
genrsa 产生RSA密钥命令 -aes256 使用AES算法256为密钥对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。 -out 输出路径,这里指private/client.key.pem 这里的参数2048指RSA密钥长度位数默认长度为512位 完成客户证书密钥构建后我们需要产生客户证书签发申请 6生成客户证书签发申请
openssl req -new -key private/client.key.pem -out private/client.csr -subj /CCN/STBJ/LBJ/Olesaas/OUlesaas/CNlesaas
req 产生证书签发申请命令 -new 表示新的请求。 -key 密钥,这里为private/client.csr文件 -subj 指定用户信息,这里使用“lesaas”作为用户名 我们已经获得了根证书可以使用根证书签发客户证书client.cer 7签发客户证书
openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem
ca 签发证书命令 -days 表示证书有效期,这里为3650天。 -in 表示输入文件,这里为private/client.csr -out 表示输出文件,这里为certs/server.cer -cert 表示证书文件,这里为certs/ca.cer -keyfile 表示根证书密钥文件,这里为private/ca.key.pem 最后我们需要将获得客户证书转化Java语言可以识别的PKCS#12编码格式。 8客户证书转换
openssl pkcs12 -export -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12
pkcs12 PKCS#12编码格式证书命令、 -export 表示导出证书 -clcerts 表示仅导出客户证书。 -inkey 表示输入密钥,这里为private/client.key.pem -in 表示输入文件,这里为certs/client.cer -out 表示输出文件,这里为certs/client.p12
至此我们完成了双向认证的所需的全部证书。
数字证书是公钥的载体而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者搞Java开发尤其是接触过HTTPS平台的朋友并不陌生。JKS文件通常为*.jks或*.keystore扩展名无关可以通过Java原生工具——KeyTool生成而后者PKCS#12文件通常为*.p12或*.pfx意味个人信息交换文件则是通过更为常用的OpenSSL工具产生。 当然这两者之间是可以通过导入/导出的方式进行转换的当然这种转换需要通过KeyTool工具进行
回归正题计费同事遇到一个难题合作方交给他们一个*.pfx文件需要他们从中提取密钥然后进行加密交互。其实通过Java直接操作密钥库文件或个人信息交换文件对于一般Java开发人员来说这都是个冷门。不接触数字安全根本不知所云。况且Java原生的密钥库文件格式为JKS如何操作*.pfx文件密钥库操作需要获知密钥库别名*.pfx别名是什么接下来就解决这些问题 (PKCS#12是base64编码的) 方案 通过keytool密钥库导入命令importkeystore将密钥库格式由PKCS#12转换为JKS。 检索新生成的密钥库文件提取别名信息。 由密钥库文件导出数字证书这里将用到别名。 通过代码提取公钥/私钥、签名算法等 先看格式转换 Cmd代码 收藏代码 echo 格式转换
keytool -importkeystore -v -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456 -importkeystore导入密钥库通过格式设定我们可以将PKCS#12文件转换为JKS格式。 -v显示详情 -srckeystore源密钥库这里是zlex.pfx -srcstoretype源密钥库格式这里为pkcs12 -srcstorepass源密钥库密码这里为123456 -destkeystore目标密钥库这里为zlex.keystore -deststoretype目标密钥库格式这里为jks默认值也如此 -deststorepass目标密钥库密码这里为123456 通过这个操作我们能够获得所需的密钥库文件zlex.keystore。 这时我们已经获得了密钥库文件只要确定对应的别名信息就可以提取公钥/私钥以及数字证书进行加密交互了 Cmd代码 收藏代码 echo 查看证书
keytool -list -keystore zlex.keystore -storepass 123456 -v -list列举密钥库 -keystore密钥库,这里是zlex.keystore -storepass密钥库密码,这里是123456 -v显示详情 现在我们把证书导出 Cmd代码 收藏代码 echo 导出证书
keytool -exportcert -alias 1 -keystore zlex.keystore -file zlex.crt -storepass 123456 -exportcert导出证书 -alias别名,这里是1 -keystore密钥库,这里是zlex.keystore -file证书文件,这里是zlex.crt -storepass密钥库密码,这里是123456 现在证书也导出了我们可以提取公钥/私钥进行加密/解密签名/验证操作了当然即便没有证书我们也能够通过密钥库JKS格式文件获得证书以及公钥/私钥、签名算法等。
