openssl制作证书全过程及https实现

openssl制作证书全过程及https实现
目录
证书格式说明
- 带有私钥的证书 PKCS12(P12)：包含了公钥和私钥的二进制格式的证书形式，以 pfx 作为证书文件后缀名。
- 二进制编码的证书（DER）：证书中没有私钥，DER 编码二进制格式的证书文件，以 .cer 作为证书文件后缀名。
- Base64 编码的证书（PEM）：证书中没有私钥，Base64 编码格式的证书文件，也是以 .cer 作为证书文件后缀名。
准备工作
- 环境：win10
- 软件：openssl、tomcat
- 准备工作：tomcat环境配置（包括jdk）；下载openssl工具到本地，解压后，在bin目录下新建三个文件夹，分别为ca、client、server。
注意：下文采取的是SSL双向认证，故制作了客户端的证书，如果想要实现单项认证，则只需CA证书及server证书。

证书制作

生成CA证书
- 创建私钥 genrsa -out ca/ca-key.pem 1024
- 创建证书请求 req -new -out ca/ca-req.csr -key ca/ca-key.pem
- 自签署证书 x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
- 转换证书格式 pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
生成server证书

tips : common name 填写本地 IP 地址！【图中箭头部分】
- 创建私钥 genrsa -out server/server-key.pem 1024
- 创建证书请求 req -new -out server/server-req.csr -key server/server-key.pem
- 自签署证书 x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
- 转换证书格式 pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
生成client证书
- 创建私钥 genrsa -out client/client-key.pem 102
- 创建证书请求 req -new -out client/client-req.csr -key client/client-key.pem
- 自签署证书 x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
- 转换证书格式 pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
根据ca证书生成jks文件

tips : 换！路！径！【jdk的bin目录下输入命令】
- 在openssl的bin目录下新建jks文件夹 keytool -keystore C:OpenSSL-Win64injks ruststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:OpenSSL-Win64incaca-cert.pem
Apache Tomcat验证

配置Tomcat
- 修改tomcat的配置文件（conf/server.xml）添加一个新的connector，内容如下（tips：注：keystoreFile对应server端的jks文件，keystorePass对应其密码）
  tips : 两个 storefile 的路径一定要对，不然会落泪
```
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
    maxThreads="150" scheme="https" secure="true" 
    clientAuth="true" sslProtocol="TLS" 
    keystoreFile="C:OpenSSL-Win64inserverserver.p12" keystorePass="changeit" keystoreType="PKCS12"  
    truststoreFile="C:OpenSSL-Win64injks	ruststore.jks" truststorePass="222222" truststoreType="JKS"/>
```
在浏览器导入证书
- 将ca.p12，client.p12分别导入到IE中去（打开IE->Internet选项->内容->证书）。
  ca.p12导入至受信任的根证书颁发机构，client.p12导入至个人。
验证
- 访问https://192.168.0.6:8443，提示是否确认证书，确认后成功访问，点击小锁查看证书。
参考博客

Windows下使用OpenSSL生成自签证书
 CA认证过程及https实现方法之Linux
相关阅读:
Java学习086Springboot 自定义启动 banner 信息
 Java学习085Springboot 解决 InetAddress.getLocalHost().getHostName() took 13387 milliseconds to respond. Please verify your network configuration
PySe023pandas.read_csv 读取 csv 文件，指定列数据类型解决字符串数据列变为数字的问题
 Linux027Centos JDK 环境离线安装配置
 Java学习087自定义MANIFEST.MF 文件并打包生效
 如何在跨平台的环境中创建可以跨平台的后台服务，它就是 Worker Service。
如何为Windows服务增加Log4net和EventLog的日志功能。
微服务与SOA的区别
 java：对象的内存解析
 快速学习一个新技术的方法
原文地址：https://www.cnblogs.com/poziiey/p/12491214.html

openssl制作证书全过程及https实现

证书格式说明

准备工作

证书制作

生成CA证书

生成server证书

生成client证书

根据ca证书生成jks文件

Apache Tomcat验证

配置Tomcat

在浏览器导入证书

验证

参考博客