使用keytool + openssl 生成自签名的tomcat服务器证书

前提条件：在运行的机器上安装openssl软件。

准备工作

1、建立某个ca根目录，用来进行ca证书的管理(例如：/test/ca)。
2、在cs根目录下建立如下文件夹： newcerts、private，其中newcerts用于存放新生成的证书(openssl 自动管理)，private用于存放自己的ca根证书的私钥。
3、将openssl目录中的openssl.cnf文件复制到该目录下，并将[ CA_default ]下的dir修改为第1步中的ca根目录/test/ca
4、在cs根目录下建立文件：空白文件index.txt、带有内容为01的文件serial，建立好后的文件夹格式如下：

 
开始制作证书：

1、使用命令OpenSSL req -new -x509 -days 18900 -sha1 -newkey rsa:1024 -keyout /test/ca/private/ca.key -out /test/ca/ca.crt
该命令后会在ca根目录下生成根证书的公钥文件ca.crt，在privatre目录下生成根证书的私钥文件ca.key。

2、使用keytool生成tomcat的服务器端证书文件：/test/.keystore
keytool -genkey -validity 3650 -keyalg RSA -keysize 1024 -keystore /test/.keystore，注意在这里生成证书时，使用的省市县等信息要生成根证书的信息保持一致，否则在后续使用根证书签名时，会出现如下的错误信息：

  

3、从tomcat的服务器证书文件中导出签名请求的证书文件/test/req.csr：
keytool -certreq -sigalg MD5withRSA -file /test/req.csr -keystore /test/.keystore

4、使用openssl命令，用第1步中生成的根证书公、私钥文件对req.csr证书文件进行自签名，并生成自签名后的证书文件/test/tomcat_server.crt：
openssl ca -in /test/req.csr -out /test/tomcat_server.crt -notext -cert /test/ca/ca.crt -keyfile /test/ca/private/ca.key -config /test/ca/openssl.cnf

5、将根证书公钥文件/test/ca/ca.crt导入到tomcat服务器证书文件中：
keytool -import -v -trustcacerts -alias root -file /test/ca/ca.crt -keystore /test/.keystore，注意：导入时，需要给该证书指定与第2步中生成的证书文件不一样的别名，不然会导入不了。

6、将签名后的证书文件/test/tomcat_server.crt导入到tomcat服务器证书文件中：
keytool -import -v -file /test/tomcat_server.crt -keystore /test/.keystore，注意：导入时，使用的别名必须要与第2步中生成证书文件的别名一致。

OK，至此，我们可以使用keytool命令查看该tomcat证书文件：keytool -v -list /test/.keystore，可以看到我们使用别名为mykey的证书已经被别名为root的证书证证了。

 ------------openssl----加解密-----------

 
 openssl 对称加解密

 

 openssl 非对称加解密1

  

openssl 非对称加解密2（验证）