如何使用Keytool工具生成证书Keystore和证书签名请求文件?

备注： 本指导说明适用以下类型服务器:

　　Apache Tomcat

　　Java Web Servers

　　在申请服务器证书时，用户需要提供证书签名请求文件(CSR)。CSR文件是一个从您的服务器生成的加密数据文件，包含了您的公司信息和web server信息。

　　一、 创建证书Keystore

　　keytool -genkey -alias -keyalg RSA –keysize 2048 -keystore

　　重要:

　　! 当创建时必须制定您的keystore 位置;

　　! 如果您正在续订您的证书，您必须创建新的key pair 和 keystore;

　　! 创建您的CSR和安装您的证书，您使用它来创建自签名的密钥存储库时，请使用相同的别名。

　　例如:

　　C:\> keytool -genkey -alias myalias -keysize 2048 -keyalg RSA -keystore c:\.mykeystore

　　输入keystore密码: password (请输入保护证书密钥的密码)

　　您的名字与姓氏是什么?请输入域名,例如：www.etsec.com.cn

　　您的组织单位名称是什么?请输入单位名称，如: Beijing eTsec Technology Co.,Ltd.

　　您的组织名称是什么?请输入部门名称，如： IT Dept

　　您所在的城市或区域名称是什么?输入城市名称，如：Beijing

　　您所在的州或省份名称是什么?输入省份名称，如：Beijing

　　该单位的两字母国家代码是什么?中国请输入CN

　　CN=www.etsec.com.cn, OU= Beijing eTsec, O=IT, L= Beijing, ST= Beijing, C=CN 正确吗?输入 Y

　　输入的主密码(如果和 keystore 密码相同，按回车)：按回车

　　确保记住您所输入的密码，注意生成CSR时，在第2部分中会使用它。

　　二、生成证书签名请求(CSR)

　　1. keytool -certreq -keyalg RSA -alias -file certreq.csr -keystore

　　重要:

　　! 创建您的CSR和安装您的证书，您使用它来创建自签名的密钥存储库时，请使用相同的别名。

　　例如:

　　C:\>keytool -certreq -keyalg RSA -alias myalias -file certreq.txt -keystore c:\.mykeystore

　　输入keystore密码:

　　2. 打开生成CSR文件certreq.txt 。这个CSR文件显示如下:

-----BEGIN NEW CERTIFICATE REQUEST----- MIIBujCCASMCAQAwejELMAkGA1UEBhMCQ0ExEDAOBgNVBAgTB09udGFyaW8xDzANBgNVBAcTBk90 dGF3YTEQMA4GA1UEChMHRW50cnVzdDETMBEGA1UECxMKRW50cnVzdCBDUzEhMB8GA1UEAxMYd3d3 5w6T+

-----BEGIN NEW CERTIFICATE REQUEST----- MIIBujCCASMCAQAwejELMAkGA1UEBhMCQ0ExEDAOBgNVBAgTB09udGFyaW8xDzANBgNVBAcTBk90 dGF3YTEQMA4GA1UEChMHRW50cnVzdDETMBEGA1UECxMKRW50cnVzdCBDUzEhMB8GA1UEAxMYd3d3 5w6T+q/f+wIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAF+0hqAqXumz/vGrzGVhKHlnxd7HW3ezS GIbIUcOy1YdDc/1ZCqRpu3utYIZ6welK++l+QjlbL6p5RJJETkkLKXjb/WVFajNuPl7Yob9pbwA7 JBrCCKbFj+kzDNbGhCR1RgFA9vQj5vob41Vj+k+TQchliuTLL9rFXNDHrtgTMtA= -----END NEW CERTIFICATE REQUEST-----