生成客戶端證書

『壹』 如何生成用於SSL/TLS的數字證書

建議你這樣試試看：

• 目前項目需要SSL證書的域名列好。

• 淘寶中找到Gworg，選擇對應的SSL證書，通常用的是通配符或者多域名。

• 將域名發送給Gworg，並且根據提示完成域名DNS解析認證。

• 下載證書解壓後，使用對應的環境證書配置到伺服器。

這樣做的好處：中間交易更安全，快速簽發省心省力，Gworg注冊更有保障。

注意事項：申請SSL證書必須確定域名可以正常解析，簽發好的證書，無法變更域名。

『貳』 java 怎樣生成tomcat ssl客戶端證書和服務端證書

Gworg獲得Tomcat證書與密碼，根據以下教程安裝。

解釋原因：

• 進入Tomcat安裝目錄, d:/apache-tomcat-8.0.18, 把下載的jks文件放在tomcat安裝目錄即可。d:/apache-tomcat-8.0.18/gworg.com.jks

• 打開tomcat配置文件 conf/server.xml

tomcat默認一般是8080埠或者 80埠，先找到這一段。

<Connector port="8080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="8443" />

3.在這段下面插入下面配置：

<Connectorport="443"protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"SSLEnabled="true"scheme="https"secure="true"
clientAuth="false"sslProtocol="TLS"keystoreFile="gworg.com.jks"keystorePass="123456"/>


• keystoreFile=」gworg.com.jks」 【 jks 文件名需要修改】

• keystorePass=」123456″ 【jks密碼】

注意事項：

• 防火牆要允許443埠

• 使用CDN，需要讓CDN服務商安裝SSL

• Tomcat 6.0上面配置如果無法啟動，把protocol修改為protocol=」HTTP/1.1″

• windows平台運行tomcat ， bin目錄下必須有tcnative-1.dll

『叄』 客戶端證書是什麼意思

客戶端證書意思是SSL證書，SSL 證書就是遵守 SSL協議，由受信任的數字證書頒發機構CA，在驗證服專務器身份後頒發，具有服屬務器身份驗證和數據傳輸加密功能。

SSL證書通過在客戶端瀏覽器和Web伺服器之間建立一條SSL安全通道（Secure socket layer(SSL)安全協議是由Netscape Communication公司設計開發。

(3)生成客戶端證書擴展閱讀

SSL安全證書主要用於發送安全電子郵件、訪問安全站點、網上招標與投標、網上簽約、網上訂購、安全網上公文傳送、網上辦公、網上繳費、網上繳稅以及網上購物等安全的網上電子交易活動。

在網上進行電子商務交易時，交易雙方需要使用數字簽名來表明自己的身份，並使用數字簽名來進行有關的交易操作。隨著電子商務的盛行，數位簽章的頒發機構 CA中心將為電子商務的發展提供可靠的安全保障。

『肆』 怎樣用java寫代碼生成客戶端證書，並把它加到伺服器證書的信任列表中去啊。

客戶端證書，有伺服器端生成、並用伺服器端根證書簽名。

『伍』 什麼是客戶端證書

方法如下：先從網站上按照提示下載個人證書到IE瀏覽器中，把下載到機子里得到證書，在機子里ie瀏覽器工具欄里，工具－internet選項－－內容－－證書－－個人，選中你得證書，選擇導出就可以了，注意要選擇帶私鑰導出，到處備份後存到你的U盤里就可以了。每次到了一個沒有你證書的機器上雙擊文件根據提示導入就可以了。不過做完業務後記得把IE瀏覽器里的證書刪掉啊，要不然別人就可以用你的網銀了，刪除方法就是在導出的地方有刪除選項，選擇刪除就可以。你保存好你的備份文件就沒有問題了。如果重裝系統，證書肯定會被格掉的。保存好你的備份就可以的。

『陸』 如何用伺服器為客戶端生成的證書與伺服器建立ssl連接

執行完後，若要查看testuser1.p12的內容可以用命令openssl pkcs12 -in testuser1.p12 你可以直接拷貝到windows下，作為個人數字證書，雙擊導入IE

『柒』 如何生成CA證書

1. 創建根證書密鑰文件(自己做CA)root.key：

2. 創建根證書的申請文件root.csr：

3. 創建一個自當前日期起為期十年的根證書root.crt：

4. 創建伺服器證書密鑰server.key：

5. 創建伺服器證書的申請文件server.csr

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt

7. 創建客戶端證書密鑰文件client.key

8. 創建客戶端證書的申請文件client.csr

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

『捌』 如何生成CA證書

一般情況下，如果能找到可用的證書，就可以直接使用，只不過會因證書的某些信息不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效，但這並不影響使用。
需要手工生成證書的情況有：
找不到可用的證書
需要配置雙向SSL，但缺少客戶端證書
需要對證書作特別的定製
首先，無論是在Linux下還是在Windows下的Cygwin中，進行下面的操作前都須確認已安裝OpenSSL軟體包。
1. 創建根證書密鑰文件(自己做CA)root.key：
openssl genrsa -des3 -out root.key
輸出內容為：
[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for root.key: ← 重新輸入一遍密碼
2. 創建根證書的申請文件root.csr：
openssl req -new -key root.key -out root.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 輸入前面創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家代號，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 此時不輸入
Email Address []:[email protected] ← 電子郵箱，可隨意填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入
3. 創建一個自當前日期起為期十年的根證書root.crt：
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 輸入前面創建的密碼
4. 創建伺服器證書密鑰server.key：
openssl genrsa –des3 -out server.key 2048
輸出內容為：
[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
5.創建伺服器證書的申請文件server.csr：
openssl req -new -key server.key -out server.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []:www.mycompany.com ← 伺服器主機名，若填寫不正確，瀏覽器會報告證書無效，但並不影響使用
Email Address []:[email protected] ← 電子郵箱，可隨便填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入
6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入前面創建的密碼
7. 創建客戶端證書密鑰文件client.key：
openssl genrsa -des3 -out client.key 2048
輸出內容為：
[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for client.key: ← 重新輸入一遍密碼
8. 創建客戶端證書的申請文件client.csr：
openssl req -new -key client.key -out client.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 輸入上一步中創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名稱，拼音
Locality Name (eg, city) []:BeiJing ← 市名稱，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以隨便填
Email Address []:[email protected] ← 電子郵箱，可以隨便填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填
9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入上面創建的密碼
10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
輸出內容為：
[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 輸入上面創建的密碼
Enter Export Password: ← 輸入一個新的密碼，用作客戶端證書的保護密碼，在客戶端安裝證書時需要輸入此密碼
Verifying – Enter Export Password: ← 確認密碼
11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件
.crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）
參考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509證書一般會用到三類文，key，csr，crt。
Key是私用密鑰openssl格，通常是rsa演算法。
Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。
crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成
opensslgenrsa -des3 -out server.key 2048
這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:
opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt
opensslreq -new -x509 -key server.key -out ca.crt -days3650
生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法
opensslreq -new -key server.key -outserver.csr
需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法
CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。
opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt
輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。
最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt
證書合並：
catserver.key server.crt > server.pem

『玖』 如何生成openssl證書

2. 生成Root CA私鑰與證書：
2.1 先生成RootCA私鑰--》使用私鑰生成CSR--》生成自簽名根證書。用來給二級CA證書簽名。
3. 生成二級CA 私鑰與證書：（假如有兩個二級CA， 分別負責管理伺服器端和客戶端證書）
3.1 先生成ServerCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給伺服器證書簽名。
3.2 先生成ClientCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給客戶端證書簽名。
4. 生成伺服器端與客戶端的私鑰與證書：
4.1 先生成ServerA私鑰--》使用私鑰生成CSR--》使用ServerCA證書簽名生成三級證書。
4.2 先生成ClientA私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書。
4.3 先生成ClientB私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書
。。。。可以生成N個客戶端證書證書結構：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...|
5. 導出RootCA的根證書、伺服器端和客戶端的私鑰和證書。
導出時都使用pem格式。
RootCA.pem-------根證書（PEM ）
ServerA.pem------伺服器端證書（PEM with Certificate chain）
ClientA.pem------客戶端證書（PEM with Certificate chain）
ClientB.pem------客戶端證書（PEM with Certificate chain）
ServerAKey.pem------伺服器端私鑰（PEM ）
ClientAKey.pem------客戶端私鑰（PEM ）
ClientBKey.pem------客戶端私鑰（PEM ）
6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能導入私鑰，需要利用到weblogic 提供的一個工具，需要把weblogic.jar加到CLASSPATH。
6.1 生成伺服器和客戶端的信任證書庫：
keytool -import -alias rootca -file RootCA.pem -keystore trust.jks
6.2 生成伺服器端身份密鑰庫：
java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem
6.3 生成客戶端身份密鑰庫：
java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客戶端身份密鑰庫
7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的證書鏈關系。

『拾』 https證書生成方法，怎麼生成https證書

HTTPS認證、復HTTPS證書，可以在制淘寶裡面找到Gworg申請。

申請HTTPS證書：

1. 確定並且列出具體需要的域名。

2. 進入淘寶中找到Gworg並且選擇HTTPS證書。

3. 根據提示完成HTTPS域名認證。

4. 獲得HTTPS證書並且安裝到伺服器。

解決辦法：Gworg認證並且活動和HTTPS證書。