各种证书生成和转换
2016-04-18 15:50
295 查看
生成私钥:
openssl genrsa -out rsa_private_key.pem 1024
根据私钥生成公钥签名证书
openssl req -new -x509 -days 3650 -key rsa_private_key.pem -out ppmoney_key.crt
keytool -exportcert -rfc -alias jetty -file ppmoneykey.crt -keystore jetty.jks
公钥证书导入keystore
keytool -importcert -file ppmoney_key.crt -alias ppmoney -keystore smx.jks
查看公钥:
openssl x509 -in public.crt -pubkey -out public.crt
1.创建rsa密钥对(公钥和私钥)并储存在keystore文件中:
keytool -genkeypair -keyalg RSA -keystore keystore.jks
2.从keystore文件中导出使用x509标准验证的数字证书,包含公钥。
keytool -exportcert -file cert.cer -keystore keystore.jks
keytool没有提供从keystore文件导出私钥的工具,需要编程实现此功能。
从keystore文件导出的证书、密钥都是DER格式,可以使用openssl工具转换成PEM格式。
openssl是一套强大的工具集,包含各种加解密算法,信息摘要及签名算法,密钥和证书管理等。
openssl使用的默认数据格式是PEM格式,也支持DER格式,可以进行互相转换。
1.genrsa命令用于创建私钥
openssl genrsa -out private.key
若需要对私钥加密,可以使用 -des -des3等参数。
2.rsa命令用于对密钥管理,格式转换
使用私钥创建对应的公钥
openssl rsa -in private.key -out public.key -pubout
将DER格式公钥转换为PEM格式
openssl rsa -in public.key.der -inform der -pubin -outform pem -out public.key
3.x509命令用于管理x509标准的证书
将DER格式证书转换成PEM格式
openssl x509 -in cert.cer -inform der -outform PEM -out cert.crt
从证书中导出公钥
openssl x509 -in cert.crt -pubkey -out public.key
4.pkcs8,pkcs12命令用于管理私钥的pkcs编解码
将密钥使用pkcs8加密
openssl pkcs8 -in private.key -nocrypt -topk8 -outform DER -out private.p8
将pkcs8密钥解密
openssl pkcs8 -in decrypted.p8 -nocrypt
在Java中,根据JSSE的规范,证书需要先导入到truststore/keystore文件,才能被Java识别和使用。
步骤为:
## 1.1 openapi根证书(root ca)到truststore
```
keytool -import -keystore truststore.jks -file path/to/yingmi-openapi-root-ca.crt -alias yingmica
```
命令行会提示输入一个truststore的密码。请记下这个密码,下面配置会用到。
命令行还会提示“是否要信任该证书”,输入“Y”,并回车确认。
成功后,该命令会产生一个名称为"truststore.jks"的文件。
## 1.2 导入客户端证书到keystore
keystore不直接支持导入crt/key文件。所以首先先用openssl命令将证书转换为pkcs12格式的文件。p12文件可以同时包括证书和秘钥。
```
openssl pkcs12 -export -in openapi-test-cert-foo.crt -inkey openapi-test-cert-foo.key > foo.p12
```
此时会提示指定导出的p12文件密码。请记下这个密码,下一步会用到。
然后导入到keystore文件中
```
keytool -importkeystore -destkeystore keystore.jks -srckeystore foo.p12 -srcstoretype pkcs12
```
这步首先会要求你指定产生的keystore的密码。请记下这个密码,下面配置会用到。
然后会要求你输入上一步指定的p12文件的密码,请输入之。
**注意**,本样例代码假设你的p12密码与keystore密码相同。
openssl genrsa -out rsa_private_key.pem 1024
根据私钥生成公钥签名证书
openssl req -new -x509 -days 3650 -key rsa_private_key.pem -out ppmoney_key.crt
keytool -exportcert -rfc -alias jetty -file ppmoneykey.crt -keystore jetty.jks
公钥证书导入keystore
keytool -importcert -file ppmoney_key.crt -alias ppmoney -keystore smx.jks
查看公钥:
openssl x509 -in public.crt -pubkey -out public.crt
1.创建rsa密钥对(公钥和私钥)并储存在keystore文件中:
keytool -genkeypair -keyalg RSA -keystore keystore.jks
2.从keystore文件中导出使用x509标准验证的数字证书,包含公钥。
keytool -exportcert -file cert.cer -keystore keystore.jks
keytool没有提供从keystore文件导出私钥的工具,需要编程实现此功能。
从keystore文件导出的证书、密钥都是DER格式,可以使用openssl工具转换成PEM格式。
openssl是一套强大的工具集,包含各种加解密算法,信息摘要及签名算法,密钥和证书管理等。
openssl使用的默认数据格式是PEM格式,也支持DER格式,可以进行互相转换。
1.genrsa命令用于创建私钥
openssl genrsa -out private.key
若需要对私钥加密,可以使用 -des -des3等参数。
2.rsa命令用于对密钥管理,格式转换
使用私钥创建对应的公钥
openssl rsa -in private.key -out public.key -pubout
将DER格式公钥转换为PEM格式
openssl rsa -in public.key.der -inform der -pubin -outform pem -out public.key
3.x509命令用于管理x509标准的证书
将DER格式证书转换成PEM格式
openssl x509 -in cert.cer -inform der -outform PEM -out cert.crt
从证书中导出公钥
openssl x509 -in cert.crt -pubkey -out public.key
4.pkcs8,pkcs12命令用于管理私钥的pkcs编解码
将密钥使用pkcs8加密
openssl pkcs8 -in private.key -nocrypt -topk8 -outform DER -out private.p8
将pkcs8密钥解密
openssl pkcs8 -in decrypted.p8 -nocrypt
在Java中,根据JSSE的规范,证书需要先导入到truststore/keystore文件,才能被Java识别和使用。
步骤为:
## 1.1 openapi根证书(root ca)到truststore
```
keytool -import -keystore truststore.jks -file path/to/yingmi-openapi-root-ca.crt -alias yingmica
```
命令行会提示输入一个truststore的密码。请记下这个密码,下面配置会用到。
命令行还会提示“是否要信任该证书”,输入“Y”,并回车确认。
成功后,该命令会产生一个名称为"truststore.jks"的文件。
## 1.2 导入客户端证书到keystore
keystore不直接支持导入crt/key文件。所以首先先用openssl命令将证书转换为pkcs12格式的文件。p12文件可以同时包括证书和秘钥。
```
openssl pkcs12 -export -in openapi-test-cert-foo.crt -inkey openapi-test-cert-foo.key > foo.p12
```
此时会提示指定导出的p12文件密码。请记下这个密码,下一步会用到。
然后导入到keystore文件中
```
keytool -importkeystore -destkeystore keystore.jks -srckeystore foo.p12 -srcstoretype pkcs12
```
这步首先会要求你指定产生的keystore的密码。请记下这个密码,下面配置会用到。
然后会要求你输入上一步指定的p12文件的密码,请输入之。
**注意**,本样例代码假设你的p12密码与keystore密码相同。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- (13)处理静态资源(自定义资源映射)【从零开始学Spring Boot】
- POJ 2481 Cows (数组数组求逆序对)
- 全排列
- NSArray和NSMutableArray整理与总结
- rsync备份系统
- 七、堆排序
- jQuery的内容过滤选择器学习教程
- Caused by: android.view.InflateException: Binary XML file line #44: Error inflating class com.androi
- LeetCode--136. Single Number
- 面试中一些问题
- Java 四种线程池newCachedThreadPool,newFixedThreadPool,newScheduledThreadPool,newSingleThreadExecutor
- Assert.notNull(sessionUser);
- 绘图工具综合
- HDU 1016 Prime Ring Problem
- iOS开发~CocoaPods使用详细说明
- Java并发编程系列文章目录帖及源码
- hdu5045(状态压缩dp)
- java多线程核心技术梳理(附源码)
- 字体闪烁
- 3秒后自动跳转到另一个页面