命令行生成Keystore.doc

KEYSTORE的生成目 錄一概述3二使用IBM密鑰管理器生成KEYSTROE31打開ikeyman32創(chuàng)建keystore33生成申請書44使用申請書在JIT CA中簽發(fā)站點證書55導(dǎo)入簽發(fā)完成的站點證書5三使用KEYTOOL命令產(chǎn)生KEYSTORE71生成server端證書72生成KeySTORE，使用如下語句：73生成服務(wù)器證書申請書74向keystore中導(dǎo)入根證書及服務(wù)器證書75把CA簽名后的server端證書導(dǎo)入keystore8附錄：使用申請書在JIT CA中簽發(fā)站點證書81啟動注冊子系統(tǒng)業(yè)務(wù)處理控制臺82在注冊子系統(tǒng)證書制作控制臺制作站點證書93使用IE下載服務(wù)器證書10一 概述詳細(xì)的介紹使用工具和命令生成keystore，并產(chǎn)生證書申請，簽發(fā)證書，倒入證書和根證的過程。產(chǎn)生的keystore可通用在支持keystore的系統(tǒng)中。二 使用IBM密鑰管理器生成KEYSTROE1打開ikeyman可以通過運行.WebSphereAppServerbinikeyman.bat啟動ikeyman2創(chuàng)建keystorel 選擇 密鑰數(shù)據(jù)庫文件點擊新建l 密鑰數(shù)據(jù)庫類型選擇 jksl 文件名稱、位置任選l 輸入keystore密碼l 刪除所有默認(rèn)的簽署人證書3生成申請書l 選擇 個人證書請求l 點擊 新建l 輸入 證書編號（站點證書的別名）l 選擇密鑰大小l 輸入 組織（ou）組織單位（o）市/縣/區(qū)(L) 省/直轄市(S)l 郵編不需要填寫l 國家選擇CNl 證書請求文件可放在任意位置4使用申請書在JIT CA中簽發(fā)站點證書5導(dǎo)入簽發(fā)完成的站點證書在生成的站點證書編碼前后加入頭尾選擇簽署人證書，點擊添加導(dǎo)入根證書選擇個人證書點擊接受導(dǎo)入站點證書導(dǎo)入后點擊查看/編輯確認(rèn)證書是否正確關(guān)閉ikeyman即可一 使用KEYTOOL命令產(chǎn)生KEYSTORE1生成server端證書keytool工具在%JDK_HOME%bin下。要想得到服務(wù)器證書，必須先生成服務(wù)器證書申請書，過程如下：2生成KeySTORE，使用如下語句：%JDK_HOME%binkeytool -genkey -alias web_server -keyalg RSA -keysize 1024 -keypass changeit -storepass changeit -dname cn=localhost, ou=00, o=00, l=00, st=01, c=CN -keystore server_keystore.jks語句執(zhí)行后會產(chǎn)生一個名為server_keystore.jks的keystore文件，證書DN為cn=localhost, ou=00, o=00, l=00, st=01, c=CN，keystore密碼為changeit。3生成服務(wù)器證書申請書%JDK_HOME%binkeytool -certreq -alias web_server -sigalg MD5withRSA -file server.csr -keypass changeit -keystore server_keystore.jks -storepass changeit語句執(zhí)行后產(chǎn)生一個名為server.csr的證書申請書。可以使用此申請書在CA中簽發(fā)站點證書4向keystore中導(dǎo)入根證書及服務(wù)器證書導(dǎo)入信任的CA根證書到JSSE的默認(rèn)位置(%JDK_ROOT %/jre/security/cacerts)，使用如下語句：%JDK_HOME%binkeytool -import -trustcacerts -storepass changeit -alias my_ca_root -file caca-cert.pem -keystore %JDK_HOME%jrelibsecuritycacertscaca-cert.pem是根證書的文件名，語句執(zhí)行后會將根證書導(dǎo)入到cacerts中，執(zhí)行keytool -list -keystore %JDK_HOME%jrelibsecuritycacerts語句，將可以看到根證書已經(jīng)存在與cacerts中了。5把CA簽名后的server端證書導(dǎo)入keystore%JDK_HOME%binkeytool -import -storepass changeit -alias web_server -file server-cert.pem -keystore server_keystore.jksserver-cert.pem是服務(wù)器證書的文件名，語句執(zhí)行后會將服務(wù)器證書導(dǎo)入到server_keystore.jks中，執(zhí)行keytool -list -keystore server_keystores.jks語句，將可以看到根證書已經(jīng)存在與server_keystore.jks中了。附錄：使用申請書在JIT CA中簽發(fā)站點證書1啟動注冊子系統(tǒng)業(yè)務(wù)處理控制臺輸入和申請書相同的申請信息申請證書并取得參考碼與授權(quán)碼2在注冊子系統(tǒng)證書制作控制臺制作站點證書輸入?yún)⒖即a和授權(quán)碼選擇生成cer證書選擇申請書，并進行制證3使用IE下載服務(wù)器證書點擊證書下載，進入下圖 “步驟一”中，私鑰產(chǎn)生方式選擇“提供PKCS10申請書”點擊提交按鈕。進入下一步：在文本框中輸入證書申請書（就是在步驟2中產(chǎn)生的serverserver.csr文件，用文本編輯