如果在信任您身份的可信伙伴之间进行 SSL 数据交换,那么自签名证书就已足够。
但是,如果证书由认证中心 (CA) 签署,那么更容易得到其他人的信任。
过程
- 生成证书签署请求 (CSR)。
在订购 SSL 证书之前,必须在自己的服务器上生成一个 CSR - 加密的文本主体。CSR 包含特定于贵公司和域名的编码信息。
您可以使用以下命令,生成 PKCS#10 格式的 CSR。
keytool
-certreq -v -keystore keystore_file -alias machinename –file certreq_file
例如:
keytool -certreq -v -keystore "/usr/local/rc53/rc.keystore"
-alias hawk -file rc.csr
这样就将 CSR 发送给 CA。CA 脱机认证证书请求者,并返回证书或证书链。使用该证书或证书链替换密钥库中的现有证书链(包含自签名证书)。
- 将自签名证书替换为 CA 返回的证书或证书链。
- 将完整的可信 CA 证书导入提供唯一别名的密钥库中。
这些证书用于认证 CA 的公用密钥。
keytool
-import -v -trustcacerts -alias unique_alias -file CA_certificate_file -keystore keystore_file
例如:
keytool -import -v -trustcacerts -alias root1
-file root1.certificate -keystore "/usr/local/rc53/rc.keystore"
- 通过输入该命令以导入 CA 返回的证书。
keytool -import -v -alias unique_alias -file your_certificate_file -keystore keystore_file
注: 该命令不包含 -trustcacerts 自变量。
例如:
keytool -import -v -alias rcCertificate -file
rc.certificate -keystore "/usr/local/rc53/rc.keystore"