使用keytool生成SSL双向认证

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\liyan>d:

D:\>cd liyanboss/

D:\liyanboss>cd WebServiceSSL

D:\liyanboss\WebServiceSSL>cd sslKeys

D:\liyanboss\WebServiceSSL\sslKeys>cd server

D:\liyanboss\WebServiceSSL\sslKeys\server>keytool -genkey -alias server -keystor
e server.keystore -keyalg RSA
输入keystore密码：
再次输入新密码:
您的名字与姓氏是什么？
  [Unknown]：  server
您的组织单位名称是什么？
  [Unknown]：  server
您的组织名称是什么？
  [Unknown]：  server
您所在的城市或区域名称是什么？
  [Unknown]：  server
您所在的州或省份名称是什么？
  [Unknown]：  server
该单位的两字母国家代码是什么
  [Unknown]：  cn
CN=server, OU=server, O=server, L=server, ST=server, C=cn 正确吗？
  [否]：  y

输入<server>的主密码
        （如果和 keystore 密码相同，按回车）：

D:\liyanboss\WebServiceSSL\sslKeys\server>keytool -list -keystore server.keystor
e
输入keystore密码：

Keystore 类型： JKS
Keystore 提供者： SUN

您的 keystore 包含 1 输入

server, 2007-10-26, PrivateKeyEntry,
认证指纹 (MD5)： 60:23:6E:7B:33:B2:FF:21:48:05:29:CA:08:FD:12:21

D:\liyanboss\WebServiceSSL\sslKeys\server>keytool -export -alias server -file se
rver.cer -keystore server.keystore
输入keystore密码：
保存在文件中的认证 <server.cer>

D:\liyanboss\WebServiceSSL\sslKeys\server>cd ..

D:\liyanboss\WebServiceSSL\sslKeys>cd client

D:\liyanboss\WebServiceSSL\sslKeys\client>keytool -genkey -alias client -keystor
e client.keystore -keyalg RSA
输入keystore密码：
再次输入新密码:
您的名字与姓氏是什么？
  [Unknown]：  client
您的组织单位名称是什么？
  [Unknown]：  client
您的组织名称是什么？
  [Unknown]：  client
您所在的城市或区域名称是什么？
  [Unknown]：  client
您所在的州或省份名称是什么？
  [Unknown]：  client
该单位的两字母国家代码是什么
  [Unknown]：  cn
CN=client, OU=client, O=client, L=client, ST=client, C=cn 正确吗？
  [否]：  y

输入<client>的主密码
        （如果和 keystore 密码相同，按回车）：

D:\liyanboss\WebServiceSSL\sslKeys\client>keytool -export -alias client -file cl
ient.cer -keystore client.keystore
输入keystore密码：
保存在文件中的认证 <client.cer>

D:\liyanboss\WebServiceSSL\sslKeys\client>keytool -import -file server.cer -keys
tore client.truststore -alias server
输入keystore密码：
再次输入新密码:
所有者:CN=server, OU=server, O=server, L=server, ST=server, C=cn
签发人:CN=server, OU=server, O=server, L=server, ST=server, C=cn
序列号:4721738e
有效期: Fri Oct 26 12:56:46 CST 2007 至Thu Jan 24 12:56:46 CST 2008
证书指纹:
         MD5:60:23:6E:7B:33:B2:FF:21:48:05:29:CA:08:FD:12:21
         SHA1:4A:7B:AA:5E:8B:E8:84:0B:93:5D:F4:8B:AC:60:6F:34:F3:C4:AC:DB
         签名算法名称:SHA1withRSA
         版本: 3
信任这个认证？ [否]：  y
认证已添加至keystore中

D:\liyanboss\WebServiceSSL\sslKeys\client>cd ..

D:\liyanboss\WebServiceSSL\sslKeys>cd server

D:\liyanboss\WebServiceSSL\sslKeys\server>keytool -import -file client.cer -keys
tore server.truststore -alias client
输入keystore密码：
再次输入新密码:
所有者:CN=client, OU=client, O=client, L=client, ST=client, C=cn
签发人:CN=client, OU=client, O=client, L=client, ST=client, C=cn
序列号:472174ad
有效期: Fri Oct 26 13:01:33 CST 2007 至Thu Jan 24 13:01:33 CST 2008
证书指纹:
         MD5:29:7A:EB:E1:54:50:30:C8:6F:8C:7C:EA:5D:0C:43:56
         SHA1:77:0A:53:68:CE:23:D8:0B:A6:84:FF:02:1C:C5:DA:8D:25:1E:8F:BF
         签名算法名称:SHA1withRSA
         版本: 3
信任这个认证？ [否]：  y
认证已添加至keystore中

D:\liyanboss\WebServiceSSL\sslKeys\server>

我用这个方式生成的证书，过期了。。。。。

ketool工具是可以指定keystore的有效期的，加一个参数(-validity 365)，指定一下就可以了，默认好象是365天吧，其实用这个keystore也是应该经常更换的，为了安全的考虑呀。