前言

  如果您觉得有用的话，记得给博主点个赞，评论，收藏一键三连啊，写作不易啊^ _ ^。
  而且听说点赞的人每天的运气都不会太差，实在白嫖的话，那欢迎常来啊!!!

---

openssl 制作 信用库与服务证书

1. CA 证书

1、生成CA私钥

openssl genrsa -out ca.key 4096

2、生成自签名CA证书

openssl req -new -x509 -key ca.key -out ca.crt -days 10000 -subj "/CN=root/OU=yzy/O=yzy/L=Beijing/ST=Beijing/C=CN"

2. 服务器证书/秘钥库

生成服务器私钥

openssl genrsa -out yzy.key 2048

生成证书csr

openssl req -new -key yzy.key -out yzy.csr -subj "/CN=www.yzy.com/OU=yzy/O=yzy/L=Beijing/ST=Beijing/C=CN"

使用CA证书进行签发

openssl x509 -req -in yzy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out yzy.crt -days 8000

* -req：表示输入的是一个证书签名请求（CSR）。
* -in yzy.csr：指定输入的 CSR 文件。
* -CA ca.crt：指定用于签名的 CA 证书。
* -CAkey ca.key：指定用于签名的 CA 私钥。
* -CAcreateserial：如果没有现成的序列号文件，创建一个新的序列号文件。
* -out yzy.crt：指定输出的已签名证书文件。
* -days 8000：指定证书的有效期为 8000 天。

生成服务端的P12证书

openssl pkcs12 -export -in yzy.crt -inkey yzy.key -out yzy.p12 -name "yzy_service" -certfile ca.crt

密码:yzy

keytool -list -v -keystore yzy.p12 -storetype pkcs12 -storepass yzy

3. 创建信用库

自定义信用库应该仅包含CA证书，用于验证客户端或其他服务器的证书

keytool -import -alias rootCa -file ca.crt -keystore root.jks -storepass  changeit
keytool -importkeystore -srckeystore root.jks -destkeystore root.p12 -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit

4. 注意事项

注意的是jdk与openssl的版本，要不然的话，会有兼容的问题，我的是
jdk 8 与 OpenSSL 1.1.1d