如何生成密钥库和信任库答案

【问题标题】：How to generate keystore and truststore如何生成密钥库和信任库
【发布时间】：2018-05-06 04:51:21
【问题描述】：

如何：

为了使 SSL 在客户端和服务器之间工作，我只需要 使用终端命令（Keytool 和 openssl）生成密钥库和信任库以进行相互身份验证的分步指南。

【问题讨论】：

具体配置取决于您在服务器端和客户端使用的软件。如果没有关于您的具体设置的更多信息，我们最多只能提供一般性建议。
感谢您的回复。我已经改变了问题。我已经全新安装了 ubuntu 16 服务器机器。为了在应用程序之间建立 ssl 连接，首先我需要帮助来生成密钥库、签名证书、信任库和其余连接。
您可能需要查看 this question 或 this 或 this 页面，了解有关使用 keytool 和 openssl 创建密钥库和信任库的信息。

【解决方案1】：

我关注了This link。

1.生成密钥库（在服务器）：

keytool -genkey -alias bmc -keyalg RSA -keystore KeyStore.jks -keysize 2048

2.生成新的ca-cert和ca-key：

openssl req -new -x509 -keyout ca-key -out ca-cert

3.提取证书/创建证书签名req(csr)：

keytool -keystore KeyStore.jks -alias bmc -certreq -file cert-file

4.签署“cert-file”，cert-signed 将成为新的证书：

openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out 
       cert-signed -days 365 -CAcreateserial -passin pass:yourpass

5.将 ca-cert 导入密钥库文件：

keytool -keystore KeyStore.jks -alias CARoot -import -file ca-cert

6.import cert-signed to keystore:

keytool -keystore KeyStore.jks -alias bmc -import -file cert-signed

7.将ca-cert复制到客户端并生成信任库：（在客户端）

keytool -keystore truststore.jks -alias bmc -import -file ca-cert-s

8.将ca-cert复制到客户端并生成信任库：（在服务器端）

keytool -keystore truststore.jks -alias bmc -import -file ca-cert-c

**在客户端重复步骤（1-6）并通过导入客户端的ca-cert在服务器端生成信任库（步骤8）

在第 6 步之后重命名为 ca-cert。

例如：服务器端生成ca-cert-s，客户端生成ca-cert-c，相互交换生成truststore。

【讨论】：

-alias bmc 是什么意思？
@KannanRamamoorthy -alias 选项为您的密钥库定义一个别名。更多 infp -> stackoverflow.com/questions/5724631/…
注意-CAcreateserial。它创建一个*.srl 文件来跟踪序列号（每个签名证书应该有一个不同的）。 users.skynet.be/pascalbotte/art/server-cert.htm