从CA获得四个文件:
root证书:EntrustSecureServerCA.crt
chain证书:USERTrustLegacyCA.crt
server证书:server.crt
server key:server.key
第一种方式:运行1,直接2的第一条命令,然后使用用portecle工具,打开server.p12(可以导入链证书、根证书,转换格式),制作需要格式的keystore。
第二种方式:运行2,直接生成jks的keystore,如需转换到pkcs12等证书格式,使用portecle工具。
注:firefox对于jks支持有问题,建议使用pkcs12.
-------------------------------------------------------------------------------------------------
@echo off
rem 制作keystore
rem 1.把信任的证书导入java,这样生成server.p12之后,直接可以用portecle工具操作。
rem keytool -import -alias USERTrustLegacyCA -keystore "D:\Program Files\Java\jdk1.6.0_31\jre\lib\security\cacerts" -file USERTrustLegacyCA.crt -trustcacerts
rem keytool -import -alias EntrustSecureServerCA -keystore "D:\Program Files\Java\jdk1.6.0_31\jre\lib\security\cacerts" -file EntrustSecureServerCA.crt -trustcacerts
rem 2.生成jks的keystore,主要因为pkcs12格式的keystore,不支持TrustedCertEntry,链证书、根证书无法导入。
rem del tomcat_jks.keystore
rem openssl pkcs12 -export -in server.crt -name cas.dreye.com -inkey server.key -out server.p12
rem keytool -v -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore tomcat_jks.keystore
rem keytool -import -trustcacerts -alias EntrustSecureServerCA -file EntrustSecureServerCA.crt -keystore tomcat_jks.keystore
rem keytool -import -trustcacerts -alias USERTrustLegacyCA -file USERTrustLegacyCA.crt -keystore tomcat_jks.keystore
rem 3.生成pkcs12的keystore。链证书、根证书无法导入,可以用portecle工具操作把jks转为pkcs12。
rem keytool -importkeystore -srckeystore tomcat_jks.keystore -srcstoretype JKS -deststoretype PKCS12 -destkeystore tomcat_pkcs12.keystore
-------------------------------------------------------------------------------------------------