用Keytool和OpenSSL生成和签发数字证书(编转)

在数字证书使用过程中，会遇到签发证书问题，一般来说，有3个解决方法：
    1.交由受信任的第三方证书颁发机构签名；
    2.自签名；
    3.自制CA证书并用其签名。
    对于上线运营的网站来说，第一个方案是首选，因为只有这样浏览器才不会报警。过去买证书很贵，现在倒是有免费的了，比如IE和Firefox都支持的StartSSL。
    不同的证书颁发机构对于证书生成多少都会有自己的要求，所以本文主要讨论后两种方案。
    下面用OpenSSL生成CA签名的证书，用Keytool生成CSR（Certificate Signing Request）。

一、准备
  1）在工作目录下新建目录 demoCA、demoCA/private、demoCA/newcerts
  2) 在demoCA建立一个空文件 index.txt
  3) 在demoCA建立一个文本文件 serial, 没有扩展名，内容是一个合法的16进制数字，例如 0000
  4) 配置环境变量PATH，加入%JAVA_HOME%/bin，本文用的JavaSDK1.6

二、生成CA的自签名证书
    openssl req -new -x509 -keyout ca.key -out ca.cer -days 3650 -config openssl.cnf
    req命令表示创建证书，new参数表示创建私钥而不是从已存在的文件中读取，nodes参数表示不加密私钥。如果不添加nodes参数，以后每次使用私钥时都必须输入密码（如Apache每次重启）
openssl.cnf在openssl压缩包的share目录下
输入证书信息时，Country Name填入CN，Common Name输入单位名称，即最后显示的颁发者


三、生成server端证书
    这步使用的是JDK的keytool工具
1)    生成KeyPair生成密钥对
keytool -genkeypair -alias server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456  -storepass 123456 -keystore server.keystore
  输入common name时，要和服务器的域名保持一致。
2)    生成证书签名请求
keytool -certreq -alias server -sigalg MD5withRSA -file server.csr -keypass 123456 -storepass 123456 -keystore server.keystore

四、使用OpennSSL签发证书
    openssl ca -in server.csr -out server.cer -cert ca.cer -keyfile ca.key -notext -config openssl.cnf
  其中-notext表示不要把证书文件的明文内容输出到文件中去，否则在后面用keytool导入到keystore时会出错。
在签名时，如果报“The stateOrProvinceName field needed to be the same in the CA certificate”，是因为在openssl.cfg中的policy_match里面的前三个都选了match，修改成
stateOrProvinceName = optional
organizationName = optional
就可以了

五、导回签发后的证书
  1) 导入信任的CA根证书到keystore
   keytool -importcert -v -trustcacerts  -alias ca_root -file ca.cer -storepass 123456 -keystore server.keystore
  2) 把CA签名后的server端证书导入keystore
keytool -importcert -v -alias server -file server.cer -storepass 123456 -keystore server.keystore
  3) 查看server端证书
   keytool -list -v -keystore server.keystore  
可以看到tomcat_server的证书链长度是2