生成密钥对,opensll版本1.1.1上,如何升级openssl查看升级openssh文章:
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout ssl.key -out ssl.crt -subj "/CN=192.168.2.1" -addext "subjectAltName=IP:192.168.2.1"
-new :说明生成证书请求文件; -x509 :说明生成自签名证书;-newkey:是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。;-days:证书有效时间;keyout:后面指定rsa:bits说明产生rsa非对称密钥,位数由bits指定;-out :指定生成的证书请求或者自签名证书名称; -nodes 非交互 ;-sha256 hash算法 ;最后绑定服务器ip,还可以绑定域名和dns,用逗号分开如ip:XXX.XXX.XXX.XXX,DNS=XXX.XXX.XXX.XXX
当前目录下生成了ssl.key和ssl.crt文件了,因为tomcat不识别crt文件,所以还需要转换:
openssl pkcs12 -export -in ssl.crt -inkey ssl.key -out tomcat.keystore -name tomcat -passout pass:XXXXXXXXX
最后需要生成用户登录的证书:
keytool -export -alias tomcat -keystore tomcat.keystore -rfc -file tomcat.cer