【问题标题】:How to create own self-signed root certificate and intermediate CA to be imported in Java keystore?如何创建自己的自签名根证书和中间 CA 以导入 Java 密钥库?
【发布时间】:2015-01-01 18:48:33
【问题描述】:

如何创建自签名根证书和中间 CA 以导入 Java 密钥库?

我们将把它用于 SSL 和 TLS,稍后用于基于客户端证书的 CLIENT-AUTH 身份验证。

使用 OpenSSL 和 KeyTool。

【问题讨论】:

    标签: openssl certificate self-signed ca


    【解决方案1】:

    对于任何想要生成链和许多证书的人来说,这只是一个旁注。完善@EpicPandaForce 自己的答案,这是一个脚本,它在root-ca/ 中创建一个根CA,在intermediate/ 中创建一个中间CA,以及out/ 的三个证书,每个证书都使用中间CA 签名。

    #!/bin/bash -x
    
    set -e
    
    for C in `echo root-ca intermediate`; do
    
      mkdir $C
      cd $C
      mkdir certs crl newcerts private
      cd ..
    
      echo 1000 > $C/serial
      touch $C/index.txt $C/index.txt.attr
    
      echo '
    [ ca ]
    default_ca = CA_default
    [ CA_default ]
    dir            = '$C'                     # Where everything is kept
    certs          = $dir/certs               # Where the issued certs are kept
    crl_dir        = $dir/crl                 # Where the issued crl are kept
    database       = $dir/index.txt           # database index file.
    new_certs_dir  = $dir/newcerts            # default place for new certs.
    certificate    = $dir/cacert.pem          # The CA certificate
    serial         = $dir/serial              # The current serial number
    crl            = $dir/crl.pem             # The current CRL
    private_key    = $dir/private/ca.key.pem  # The private key
    RANDFILE       = $dir/.rnd                # private random number file
    nameopt        = default_ca
    certopt        = default_ca
    policy         = policy_match
    default_days   = 365
    default_md     = sha256
    
    [ policy_match ]
    countryName            = optional
    stateOrProvinceName    = optional
    organizationName       = optional
    organizationalUnitName = optional
    commonName             = supplied
    emailAddress           = optional
    
    [req]
    req_extensions = v3_req
    distinguished_name = req_distinguished_name
    
    [req_distinguished_name]
    
    [v3_req]
    basicConstraints = CA:TRUE
    ' > $C/openssl.conf
    done
    
    openssl genrsa -out root-ca/private/ca.key 2048
    openssl req -config root-ca/openssl.conf -new -x509 -days 3650 -key root-ca/private/ca.key -sha256 -extensions v3_req -out root-ca/certs/ca.crt -subj '/CN=Root-ca'
    
    openssl genrsa -out intermediate/private/intermediate.key 2048
    openssl req -config intermediate/openssl.conf -sha256 -new -key intermediate/private/intermediate.key -out intermediate/certs/intermediate.csr -subj '/CN=Interm.'
    openssl ca -batch -config root-ca/openssl.conf -keyfile root-ca/private/ca.key -cert root-ca/certs/ca.crt -extensions v3_req -notext -md sha256 -in intermediate/certs/intermediate.csr -out intermediate/certs/intermediate.crt
    
    mkdir out
    
    for I in `seq 1 3` ; do
      openssl req -new -keyout out/$I.key -out out/$I.request -days 365 -nodes -subj "/CN=$I.example.com" -newkey rsa:2048
      openssl ca -batch -config root-ca/openssl.conf -keyfile intermediate/private/intermediate.key -cert intermediate/certs/intermediate.crt -out out/$I.crt -infiles out/$I.request
    done
    

    【讨论】:

    • 上述脚本运行良好,我们如何将 SAN 添加到叶证书?
    【解决方案2】:

    根据以下指南,特别感谢 Jamie Nguyen 制作的指南,让这一切成为可能,谢谢!

    按照https://jamielinux.com/articles/2013/08/act-as-your-own-certificate-authority/ 上的指南执行以下操作:

    • 为 Windows 安装 OpenSSL:http://slproweb.com/products/Win32OpenSSL.html

    • bin文件夹添加到环境变量PATH

    • 为证书创建一个目录,我称之为cert-test

    • 为 [ CA_default ] 标签使用以下 openssl.cfg 数据:

    这个

    [ CA_default ]
    dir        = .    # Where everything is kept
    certs        = $dir/certs                # Where the issued certs are kept
    crl_dir    = $dir/crl                # Where the issued crl are kept
    database    = $dir/index.txt            # database index file.
    new_certs_dir    = $dir/newcerts            # default place for new certs.
    
    certificate    = $dir/cacert.pem                # The CA certificate
    serial        = $dir/serial                # The current serial number
    crl        = $dir/crl.pem                # The current CRL
    private_key    = $dir/private/ca.key.pem       # The private key
    RANDFILE    = $dir/.rnd     # private random number file
    
    • cert_test中创建目录:certs crl newcerts private

    • 使用以下命令创建

    根 CA:

    openssl genrsa -aes256 -out /etc/pki/CA/private/ca.key.pem 4096
    
    openssl req -new -x509 -days 3650 -key /etc/pki/CA/private/ca.key.pem -sha256 -extensions v3_ca -out /etc/pki/CA/certs/ca.cert.pem
    
    • 创建文件夹intermediate

    • 创建文件夹certs crl newcerts private

    • 创建文件index.txt

    • 创建文件serial 并在其中写入一个数字,如@9​​87654335@

    • 执行以下操作

    命令:

    openssl genrsa -aes256 -out intermediate/private/intermediate.key.pem 4096
    
    openssl req -config intermediate/openssl.cfg -sha256 -new -key intermediate/private/intermediate.key.pem -out intermediate/certs/intermediate.csr.pem
    
    openssl ca -keyfile private/ca.key.pem -cert certs/ca.cert.pem -extensions v3_ca -notext -md sha256 -in intermediate/certs/intermediate.csr.pem -out intermediate/certs/intermediate.cert.pem
    
    • 创建链文件

    cat:

    cat intermediate/certs/intermediate.cert.pem certs/ca.cert.pem > intermediate/certs/ca-chain.cert.pem
    
    • 使用
    • 从链创建 JKS 文件

    keytool:

    keytool -importkeystore -srckeystore ia.p12 -srcstoretype PKCS12 -destkeystore ia.jks
    
    keytool -import -noprompt -trustcacerts -alias test_certificate -file ia.crt -keystore ia.jks -storepass helloworld
    
    keytool -importcert -alias test_cert_ca -keystore "c:\Program Files\Java\jdk1.8.0\jre\lib\security\cacerts" -file ca.crt
    
    keytool -importcert -alias test_cert_ia -keystore "c:\Program Files\Java\jdk1.8.0\jre\lib\security\cacerts" -file ia.crt
    

    您可能必须将 CA 证书导入 ia.jks。

    【讨论】:

    • 我一定错过了什么。我看不到如何从“openssl”步骤中的 pem 文件到“keytool”使用的“ca.crt”和“ia.crt”文件。
    • @mnemotronic 不幸的是,我差不多一年前写了这篇文章,我手头没有步骤,但不幸的是,我认为你是正确的。您需要从私钥和证书(公钥)创建一个 PKCS12 Keystore 文件。查看如何从 pem 文件创建密钥库,如果您指定密钥库的类型和提供程序,我认为 Keytool 可以做到这一点(我记得使用它使用 bouncycastle 提供程序创建 BKS 密钥库)。
    • 为什么要将中间证书添加到信任库(或任何ia.crt)?根证书应该足够了,因为中间是由根签名的,并且此信息存储在中间通过扩展签名的所有证书中。即使在您提供的手册(jammielinux 页面)中,也说明根证书就足够了。
    • 你会得到一个带有 git 的 OpenSSL 二进制文件(以及大多数 *nix 实用程序......这一切都使 git 成为一个可爱的粪便)。
    猜你喜欢
    • 1970-01-01
    • 2012-07-19
    • 2011-02-15
    • 1970-01-01
    • 2019-05-12
    • 1970-01-01
    • 1970-01-01
    • 2017-07-12
    • 2013-10-27
    相关资源
    最近更新 更多