申請文件4大步

生成秘鑰庫

keytool -genkey -alias jwsd -keyalg RSA -validity 3650 -keysize 2048 -keystore ./jwsd.jks

注意: 您的名字與姓氏是什么? 這里應該填寫的域名或者ip

通過秘鑰庫生成證書申請 csr

keytool -certreq -sigalg SHA256withRSA -alias jwsd -keystore ./mydomain.jks -file ./jwsd.csr

將jks 轉為 pfx(pwd為密碼)

keytool -v -importkeystore -srckeystore jwsd.jks -srcstoretype jks -srcstorepass pwd -destkeystore jwsd.pfx -deststoretype pkcs12 -deststorepass pwd -destkeypass pwd

利用opensll 從pfx中提取出來 私鑰key

openssl pkcs12 -in jwsd.pfx -nocerts -nodes -out jwsd.key

補充:

一般來說，主流的Web服務軟件，通常都基于OpenSSL和Java兩種基礎密碼庫。

• Tomcat、Weblogic、JBoss等Web服務軟件，一般使用Java提供的密碼庫。通過Java Development Kit （JDK）工具包中的Keytool工具，生成Java Keystore（JKS）格式的證書文件。
• Apache、Nginx等Web服務軟件，一般使用OpenSSL工具提供的密碼庫，生成PEM、KEY、CRT等格式的證書文件。
• IBM的Web服務產品，如Websphere、IBM Http Server（IHS）等，一般使用IBM產品自帶的iKeyman工具，生成KDB格式的證書文件。
• 微軟Windows Server中的Internet Information Services（IIS）服務，使用Windows自帶的證書庫生成PFX格式的證書文件。

如何判斷證書文件是文本格式還是二進制格式？

您可以使用以下方法簡單區分帶有后綴擴展名的證書文件：

• xxx.DER或*.CER文件： 這樣的證書文件是二進制格式，只含有證書信息，不包含私鑰。
• xxx.CRT文件： 這樣的證書文件可以是二進制格式，也可以是文本格式，一般均為文本格式，功能與 .DER及.CER證書文件相同。
• xxx.PEM文件： 這樣的證書文件一般是文本格式，可以存放證書或私鑰，或者兩者都包含。 .PEM 文件如果只包含私鑰，一般用.KEY文件代替。
• xxx.PFX或*.P12文件： 這樣的證書文件是二進制格式，同時包含證書和私鑰，且一般有密碼保護。
  您也可以使用記事本直接打開證書文件。如果顯示的是規則的數字字母，例如：

—–BEGIN CERTIFICATE—– MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh...... —–END CERTIFICATE—–

那么，該證書文件是文本格式的。

• 如果存在——BEGIN CERTIFICATE——，則說明這是一個證書文件。
• 如果存在—–BEGIN RSA PRIVATE KEY—–，則說明這是一個私鑰文件。

證書格式轉換

以下證書格式之間是可以互相轉換的。

可使用以下方式實現證書格式之間的轉換：

> 說明:云盾證書服務統一使用 PEM 格式的數字證書文件。

• 將JKS格式證書轉換成PFX格式

可以使用JDK中自帶的Keytool工具，將JKS格式證書文件轉換成PFX格式。例如，可以執行以下命令將 server.jks證書文件轉換成 server.pfx證書文件：

keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx-srcstoretype JKS -deststoretype PKCS12

• 將PFX格式證書轉換為JKS格式

可以使用JDK中自帶的Keytool工具，將PFX格式證書文件轉換成JKS格式。例如，可以執行以下命令將 server.pfx證書文件轉換成 server.jks證書文件：

keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks-srcstoretype PKCS12 -deststoretype JKS

• 將PEM/KEY/CRT格式證書轉換為PFX格式

可以使用 OpenSSL工具，將KEY格式密鑰文件和CRT格式公鑰文件轉換成PFX格式證書文件。例如，將您的KEY格式密鑰文件（server.key）和CRT格式公鑰文件（server.crt）拷貝至OpenSSL工具安裝目錄，使用OpenSSL工具執行以下命令將證書轉換成 server.pfx證書文件：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

• 將PFX轉換為PEM/KEY/CRT

可以使用 OpenSSL工具，將PFX格式證書文件轉化為KEY格式密鑰文件和CRT格式公鑰文件。例如，將您的PFX格式證書文件拷貝至OpenSSL安裝目錄，使用OpenSSL工具執行以下命令將證書轉換成server.pem證書文件KEY格式密鑰文件（server.key）和CRT格式公鑰文件（server.crt）：

openssl pkcs12 -in server.pfx -nodes -out server.pem openssl rsa -in server.pem -out server.key openssl x509 -in server.pem -out server.crt

說明
此轉換步驟是專用于通過Keytool工具生成私鑰和CSR申請證書文件的，并且通過此方法您可以在獲取到PEM格式證書公鑰的情況下分離私鑰。在您實際部署數字證書時，請使用通過此轉換步驟分離出來的私鑰和您申請得到的公鑰證書匹配進行部署。

總結

以上是生活随笔為你收集整理的https-CA证书申请的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。