如何创建csr、key、crt和导入crt、rootca、subca到jks？

Question

为了克服对专业知识的怀疑，我只是解释了这个过程，通过这个过程，我们可以生成csr和key。

# generate a new private key and certificate signing request
openssl req -out chorke.csr -new -newkey rsa:2048 -nodes \
-keyout chorke.key

请确认谁负责创建crt、客户端还是服务器？在这里，充当客户端，如果我们必须从csr & key创建crt，那么我们可以创建Chorke.crtE 220如下所示：

# generate certificate using csr & key
openssl x509 -req -in chorke.csr -signkey chorke.key \
-out chorke.crt

如果服务器主管部门负责创建chorke.crt，那么如何指导我们的程序？否则，我们可以发送chorke.crt来切断将其添加到服务器上的权限。在此之后，服务器授权将他们的subca(intermediate ，chorke.crt发送给我们。然后，我们必须将它们导入到一个新的client.jks中，如下所示：

keytool -storepass storepasswd -importcert -keystore client.jks \
-trustcacerts -alias rootca -file rootca.cer

keytool -storepass storepasswd -importcert -keystore client.jks \
-trustcacerts -alias subca -file subca.cer

keytool -storepass storepasswd -importcert -keystore client.jks \
-alias chorke -file chorke.crt

在此之后，我们将按照下面的方式运行java程序，并且会导致错误的证书错误

java \
-Djavax.net.ssl.trustStore=./client.jks \
-Djavax.net.ssl.trustStorePassword=storepasswd \
-Djavax.net.ssl.keyStore=./client.jks \
-Djavax.net.ssl.keyStorePassword=storepasswd \
-cp ./lib/*:./bin ChorkeServerTest

这个过程中有什么不对的呢？在这种情况下，我们期待来自专家的建议，指出错误并指导我们从csr生成到导入jks并成功运行java程序的步骤。

Answer 1

请在下面系列的密钥工具和openssl命令中找到从.p12证书中创建.jks文件的命令，提取/列出.jks密钥存储配置，作为E 110..txt文件的一部分，将默认别名更改为预期别名，使用e 112 use E 213命令将E 114.p12证书转换为E 116..cer>E 217/code>，配置/导入根-ca、和证书，作为.jks密钥存储文件的一部分。

创建my_keystore.jks文件的keytool命令，条目类型为PrivateKeyEntry

keytool -importkeystore -srckeystore "D:\Certificates\DLOMTE.p12" -srcstoretype pkcs12 -destkeystore "my_keystore.jks" -deststoretype jks

将my_keystore.jks配置列表/解压缩为my_keystore.txt文件的keytool命令

keytool -list -v -keystore my_keystore.jks > my_keystore.txt

更改my_keystore.jks文件中默认别名的keytool命令

keytool -changealias -alias "<ALIAS NAME AS IN THE KEYSTORE>" -destalias "at oces - prod" -keystore my_keystore.jks

openssl命令将.p12证书转换为.cer

openssl pkcs12 -in "D:\Certificates\DLOMTE.p12" -clcerts -nokeys -out "D:\Certificates\DLOMTE.cer"

将my_keystore.jks rootca证书导入到具有所需别名的my_keystore.jks文件中的keytool命令

keytool -import -trustcacerts -alias "at oces - prod - rootca" -file "D:\Certificates\OCESPrimaryCA-RootCA.cer" -keystore my_keystore.jks

将intermediateca证书导入my_keystore.jks文件的keytool命令，其中包含所需的别名

keytool -import -trustcacerts -alias "at oces - prod - intermediateca" -file "D:\Certificates\OCESPrimaryCA-IntermediateCA.cer" -keystore my_keystore.jks