第九课：命令行生成Keystore.docVIP

KEYSTORE的生成 目 录 一 概述 3 二 使用IBM密钥管理器生成KEYSTROE 3 1打开ikeyman 3 2创建keystore 3 3生成申请书 4 4使用申请书在JIT CA中签发站点证书 5 5导入签发完成的站点证书 5 三 使用KEYTOOL命令产生KEYSTORE 7 1生成server端证书 7 2生成KeySTORE，使用如下语句： 7 3生成服务器证书申请书 7 4向keystore中导入根证书及服务器证书 7 5把CA签名后的server端证书导入keystore 8 附录：使用申请书在JIT CA中签发站点证书 8 1启动注册子系统业务处理控制台 8 2在注册子系统证书制作控制台制作站点证书 9 3使用IE下载服务器证书 10 概述 详细的介绍使用工具和命令生成keystore，并产生证书申请，签发证书，倒入证书和根证的过程。产生的keystore可通用在支持keystore的系统中。 使用IBM密钥管理器生成KEYSTROE 1打开ikeyman 可以通过运行.\WebSphere\AppServer\bin\ikeyman.bat启动ikeyman 2创建keystore 选择 密钥数据库文件点击新建 密钥数据库类型选择 jks 文件名称、位置任选 输入keystore密码 删除所有默认的签署人证书 3生成申请书 选择 个人证书请求 点击 新建 输入 证书编号（站点证书的别名） 选择密钥大小 输入 组织（ou）组织单位（o）市/县/区(L) 省/直辖市(S) 邮编不需要填写 国家选择CN 证书请求文件可放在任意位置 4使用申请书在JIT CA中签发站点证书 5导入签发完成的站点证书 在生成的站点证书编码前后加入头尾 选择签署人证书，点击添加导入根证书 选择个人证书点击接受导入站点证书 导入后点击查看/编辑确认证书是否正确 关闭ikeyman即可 使用KEYTOOL命令产生KEYSTORE 1生成server端证书%JDK_HOME%\bin下。 要想得到服务器证书，必须先生成服务器证书申请书，过程如下： 2生成Key%JDK_HOME%\bin\keytool -genkey -alias web_server -keyalg RSA -keysize 1024 -keypass changeit -storepass changeit -dname cn=localhost, ou=00, o=00, l=00, st=01, c=CN -keystore server_keystore.jks 语句执行后会产生一个名为server_keystore.jks的keystore文件，证书DN为cn=localhost, ou=00, o=00, l=00, st=01, c=CN，keystore密码为changeit。 3生成服务器证书申请书 %JDK_HOME%\bin\keytool -certreq -alias web_server -sigalg MD5withRSA -file server.csr -keypass changeit -keystore server_keystore.jks -storepass changeit 语句执行后产生一个名为server.csr的证书申请书。可以使用此申请书在CA中签发站点证书 4向keystore中导入根证书及服务器证书 导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT %/jre/security/cacerts)%JDK_HOME%\bin\keytool -import -trustcacerts -storepass changeit -alias my_ca_root -file ca\ca-cert.pem -keystore %JDK_HOME%\jre\lib\security\cacerts ca\ca-cert.pem是根证书的文件名，语句执行后会将根证书导入到cacerts中，执行keytool -list -keystore %JDK_HOME%\jre\lib\security\cacerts语句，将可以看到根证书已经存在与cacerts中了。 5把CA签名后的server端证书导入keystore%JDK_HOME%\bin\keytool -import -storepass changeit -alias web_server -file server-cert.pem -keystore server_keystore.jks server-cert.pem是服务器证书的文件名，语句执行后会将服务器证书导入到server_keystore.jks中，执行keyto