Cómo generar un certificado openssl

2. Genere la clave privada y el certificado de la CA raíz:

2.1 Primero genere la clave privada de la CA raíz: "Utilice la clave privada para generar CSR:" Genere un certificado raíz autofirmado. . Se utiliza para firmar certificados de CA secundarios.

3. Generar la clave privada y el certificado de la CA secundaria: (Si hay dos CA secundarias, estas son responsables de administrar los certificados del servidor y del cliente respectivamente)

3.1 Primero generar la ServerCA. clave privada --》Usar clave privada para generar CSR--》Usar firma de certificado raíz para generar certificado secundario. Se utiliza para firmar el certificado del servidor.

3.2 Primero genere la clave privada de ClientCA: "Use la clave privada para generar CSR:" Use la firma del certificado raíz para generar el certificado secundario. Se utiliza para firmar certificados de clientes.

4. Genere las claves privadas y los certificados del servidor y del cliente:

4.1 Primero genere la clave privada del servidorA--"Usar la clave privada para generar CSR--"Usar la firma del certificado ServerCA para generar un certificado de tres niveles.

4.2 Primero genere la clave privada de ClientA: "Use la clave privada para generar CSR:" Use la firma del certificado ClientCA para generar un certificado de tercer nivel.

4.3 Primero genere la clave privada de ClientB--"Use la clave privada para generar CSR--"Use la firma del certificado ClientCA para generar un certificado de tercer nivel

. . . . Se pueden generar N estructuras de certificados de cliente: RootCA||-------ServerCA |--------ServerA||-------ClientCA||---- - ---ClientA||--------ClientB||--------...|

5. Exportar el certificado raíz de RootCA, el servidor y la clave privada del cliente. y certificado.

El formato pem se utiliza al exportar.

RootCA.pem-------Certificado raíz (PEM)

ServerA.pem------Certificado del lado del servidor (PEM con cadena de certificados)

ClientA.pem------Certificado de cliente (PEM con cadena de certificados)

ClientB.pem------Certificado de cliente (PEM con cadena de certificados)

ServerAKey.pem------Clave privada del lado del servidor (PEM)

ClientAKey.pem------Clave privada del cliente (PEM)

ClientBKey .pem------Clave privada del cliente (PEM)

6. El siguiente es el paso más importante: genere el archivo JKS que necesita utilizar. La herramienta keytool no puede importar la clave privada. Debe utilizar una herramienta proporcionada por weblogic y agregar weblogic.jar a CLASSPATH.

6.1 Generar almacenes de certificados de confianza del servidor y del cliente:

keytool -import -alias rootca -file RootCA.pem -keystore trust.jks

6.2 Generar fin del servidor almacén de claves de identidad:

java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem

6.3 Generar Almacén de claves de identidad del cliente:

java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem .. .Generar otros almacenes de claves de identidad del cliente

7. keytool -list -v -keystore clienta.jks (servera.jks) puede ver la relación de la cadena de certificados.