证书常用操作归纳(粗略版)

1. 如何生成生成公私钥对和证书(pem格式或der格式)

生成公私钥对和证书请求
openssl req -newkey rsa:1024 -sha1 -pubkey -config myopenssl.cnf -keyout root.pri.key.pem -out root.cer.req.pem -days 3650  > root.pub.key.pem

根据公私钥对和证书请求生成pem格式的证书
openssl x509 -req -in root.cer.req.pem -sha1 -extfile myopenssl.cnf -extensions v3_ca -signkey root.pri.key.pem -out root.cer.pem -days 3650

以上可产生 私钥文件：root.pri.key.pem  公钥文件：root.pub.key.pem  pem格式证书：root.cer.pem

2.合并公私钥为PFX
cat root.cer.pem root.pri.key.pem > root.pem
openssl pkcs12 -in root.pem -export -out root.pfx


3. 从第三方vendor获得的证书导出公钥
从vendor获得vendor.cer.pem

从pem格式的证书中导出pem格式的公钥
openssl x509 -inform PEM -in vendor.cer.pem -outform PEM -pubkey -noout > vendor.pub.key.pem

4.用第三方vendor的证书生成jks
从vendor获得vendor.cer.pem

从pem证书生成jks
keytool -import -alias paygate_cert -keystore vendor.jks -storepass 111111 -trustcacerts -file vendor.cer.pem

下面这步可选
复制粘贴http://www.cfca.com.cn/cda-cgi/clientcgi?action=caCertPem和http://www.cfca.com.cn/cda-cgi/clientcgi?action=getCrossCerts的内容至相应的pem。
然后
keytool -import -alias cfca_rca -keystore vendor.jks -storepass 111111 -trustcacerts -file rca.pem
keytool -import -alias cfca_pca -keystore vendor.jks -storepass 111111 -trustcacerts -file pca.pem
keytool -import -alias cfca_oca -keystore vendor.jks -storepass 111111 -trustcacerts -file oca.pem

5.查看jks状态
keytool -list -keystore vendor.jks -storepass 111111

6. 查看证书编号、有效期等详细信息
keytool -list -keystore vendor.jks -storepass 111111 -v -alias key_alias

7 证书格式转换
从PEM到DER
openssl x509 -inform PEM -in root.cer.pem -outform DER -pubkey -out root.cer.der