keytool生成多级证书链

前言

Keytool常用命令如下

Keytool生成多级证书链

下面以生成三级证书链为例：

建立根CA

根CA实际是一张自签CA，自签CA的使用者和颁发者都是它自己。首先建立一个密钥库文件keystore.jks，并创建rootca条目。

keytool -genkeypair -alias rootca -storetype PKCS12 -keystore keystore.jks -validity 3650 -keysize 2048 -keyalg RSA -storepass 12345678

从密钥库中导出rootca的证书rootca.cer

keytool -exportcert -keystore keystore.jks -storepass 12345678 -alias rootca -file rootca.cer

建立二级CA并签发该CA证书

二级CA证书需要由根证书进行签发，首先需要使用keytool生成二级CA的证书，但是此时的证书还是张自签证书，我们需要从中生成一个二级CA的证书请求（包含了公钥），然后通过将证书请求到rootca签发我们的二级证书，然后我们在将rootca签发的二级CA证书导入到导出证书请求的秘钥库中，完成二级CA的生成。

创建subca条目并保存至keystore.jks文件中

keytool -genkeypair -alias subca -storetype PKCS12 -keystore keystore.jks -validity 3650 -keysize 2048 -keyalg RSA -storepass 12345678

查看一下subca条目信息

keytool -list -v -alias subca -keystore keystore.jks -storepass 12345678

此时该条目还是张自签证书，无法直接使用，需要用rootca来签发subca的证书

生成证书请求文件subca.csr

keytool -certreq -alias subca -keystore keystore.jks -storepass 12345678 -file subca.csr

使用subca.csr去rootca签发证书subca.cer

keytool -gencert -keystore keystore.jks -storepass 12345678 -alias rootca -infile subca.csr -outfile subca.cer

更新密钥库keystore.jks中的subca条目

keytool -importcert -file subca.cer -alias subca -keystore keystore.jks -storepass 12345678

此时再查看subca条目颁发者已经变成rootca了

keytool -list -v -alias subca -keystore keystore.jks -storepass 12345678

建立用户user并使用subca签发用户证书

由于该步骤与上一步类似，这里就不再截图了

创建user条目并保存至keystore.jks文件中

keytool -genkeypair -alias user -storetype PKCS12 -keystore keystore.jks -validity 3650 -keysize 2048 -keyalg RSA -storepass 12345678

生成证书请求文件user.csr

keytool -certreq -alias user -keystore keystore.jks -storepass 12345678 -file user.csr

使用user.csr去subca签发证书user.cer

keytool -gencert -keystore keystore.jks -storepass 12345678 -alias subca -infile user.csr -outfile user.cer

更新密钥库keystore.jks中的user条目

keytool -importcert -file user.cer -alias user -keystore keystore.jks -storepass 12345678

我们可以把rootca.cer、subca.cer、user.cer安装至本机上，然后查看user.cer，可以看到证书链结构