使用openssl生成包含证书链的java用jks证书_openssl测试jks证书链

1.生成CA证书和私钥

如果你准备使用公共CA则不需要这一步，但是如果这个证书只是在我们自己的服务端和客户端之间使用则只需要使用自己的CA

使用openssl之前先要在当前目录下准备一个临时目录结构，如下结构

 --demoA/  
 |-- index.txt      <-- 初始为空白内容
 |-- serial         <-- 初始内容可以设置为01
 |-- newcerts/      <-- 空文件夹
 |-- private/       <-- 貌似可以不存在

创建CA私钥

openssl genrsa -out ca.key 2048

创建CA证书

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=NetEase/OU=CA Test"

2.生成服务器证书签署请求和私钥

创建服务器私钥

openssl genrsa -out server.key 2048

创建服务器证书签署请求CSR

openssl req -new -days 365 -key server.key -out server.csr -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=NetEase/OU=XX Server/CN=xxx.yyy.com"

3.使用自己的CA进行签署证书

openssl ca -in server.csr -out server.crt -cert ca.crt  -keyfile ca.key

需要输入2次确认的y

4.合并证书

使用文本工具打开server.crt文件，可以看到内容有2部分组成，第一部分是Certificate开头的描述内容，第二部分是-----BEGIN CERTIFICATE-----开始的签名内容，我们把ca.crt的内容覆盖掉描述内容，让文件成为2个签名块，就可以看到

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

5.转换为pkcs12格式

openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

需要输入一个密码

6.转换为jks格式

keytool -importkeystore -srckeystore server.p12 -destkeystore server.jks -srcstoretype pkcs12 -deststoretype jks

keytool是jdk的工具，安装好jdk可以找到

然后我们可以验证下jks是否包含了完整的证书链

keytool -list -v -keystore server.jks

我们可以看到如下信息

别名名称： 1
创建日期： 2015-5-28
项类型: PrivateKeyEntry
认证链长度： 2
认证 [1]:
所有者:CN=xxx.yyy.com, OU=XX Server, O=NetEase, ST=ZheJiang, C=CN
签发人:OU=CA Test, O=NetEase, L=HangZhou, ST=ZheJiang, C=CN
序列号:1
有效期: Thu May 28 14:35:55 CST 2015 至Fri May 27 14:35:55 CST 2016