命令行生成Keystore.doc

KEYSTORE的生成目 录一概述3二使用IBM密钥管理器生成KEYSTROE31打开ikeyman32创建keystore33生成申请书44使用申请书在JIT CA中签发站点证书55导入签发完成的站点证书5三使用KEYTOOL命令产生KEYSTORE71生成server端证书72生成KeySTORE，使用如下语句：73生成服务器证书申请书74向keystore中导入根证书及服务器证书75把CA签名后的server端证书导入keystore8附录：使用申请书在JIT CA中签发站点证书81启动注册子系统业务处理控制台82在注册子系统证书制作控制台制作站点证书93使用IE下载服务器证书10一 概述详细的介绍使用工具和命令生成keystore，并产生证书申请，签发证书，倒入证书和根证的过程。产生的keystore可通用在支持keystore的系统中。二 使用IBM密钥管理器生成KEYSTROE1打开ikeyman可以通过运行.WebSphereAppServerbinikeyman.bat启动ikeyman2创建keystorel 选择 密钥数据库文件点击新建l 密钥数据库类型选择 jksl 文件名称、位置任选l 输入keystore密码l 删除所有默认的签署人证书3生成申请书l 选择 个人证书请求l 点击 新建l 输入 证书编号（站点证书的别名）l 选择密钥大小l 输入 组织（ou）组织单位（o）市/县/区(L) 省/直辖市(S)l 邮编不需要填写l 国家选择CNl 证书请求文件可放在任意位置4使用申请书在JIT CA中签发站点证书5导入签发完成的站点证书在生成的站点证书编码前后加入头尾选择签署人证书，点击添加导入根证书选择个人证书点击接受导入站点证书导入后点击查看/编辑确认证书是否正确关闭ikeyman即可一 使用KEYTOOL命令产生KEYSTORE1生成server端证书keytool工具在%JDK_HOME%bin下。要想得到服务器证书，必须先生成服务器证书申请书，过程如下：2生成KeySTORE，使用如下语句：%JDK_HOME%binkeytool -genkey -alias web_server -keyalg RSA -keysize 1024 -keypass changeit -storepass changeit -dname cn=localhost, ou=00, o=00, l=00, st=01, c=CN -keystore server_keystore.jks语句执行后会产生一个名为server_keystore.jks的keystore文件，证书DN为cn=localhost, ou=00, o=00, l=00, st=01, c=CN，keystore密码为changeit。3生成服务器证书申请书%JDK_HOME%binkeytool -certreq -alias web_server -sigalg MD5withRSA -file server.csr -keypass changeit -keystore server_keystore.jks -storepass changeit语句执行后产生一个名为server.csr的证书申请书。可以使用此申请书在CA中签发站点证书4向keystore中导入根证书及服务器证书导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT %/jre/security/cacerts)，使用如下语句：%JDK_HOME%binkeytool -import -trustcacerts -storepass changeit -alias my_ca_root -file caca-cert.pem -keystore %JDK_HOME%jrelibsecuritycacertscaca-cert.pem是根证书的文件名，语句执行后会将根证书导入到cacerts中，执行keytool -list -keystore %JDK_HOME%jrelibsecuritycacerts语句，将可以看到根证书已经存在与cacerts中了。5把CA签名后的server端证书导入keystore%JDK_HOME%binkeytool -import -storepass changeit -alias web_server -file server-cert.pem -keystore server_keystore.jksserver-cert.pem是服务器证书的文件名，语句执行后会将服务器证书导入到server_keystore.jks中，执行keytool -list -keystore server_keystores.jks语句，将可以看到根证书已经存在与server_keystore.jks中了。附录：使用申请书在JIT CA中签发站点证书1启动注册子系统业务处理控制台输入和申请书相同的申请信息申请证书并取得参考码与授权码2在注册子系统证书制作控制台制作站点证书输入参考码和授权码选择生成cer证书选择申请书，并进行制证3使用IE下载服务器证书点击证书下载，进入下图 “步骤一”中，私钥产生方式选择“提供PKCS10申请书”点击提交按钮。进入下一步：在文本框中输入证书申请书（就是在步骤2中产生的serverserver.csr文件，用文本编辑