如何使用key和crt文件转换为tomcat用到的jks格式证书

您好，这样：

第一步，从key和crt生成悉桐pkcs12格式的睁明坦keystore

openssl pkcs12 -export -in mycert.crt -inkey mykey.key

-out mycert.p12 -name tomcat -CAfile myCA.crt

-caname root -chain

第二步 生槐差成tomcat需要的keystore

keytool -importkeystore -v -srckeystore mycert.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore tomcat.keystore -deststoretype jks -deststorepass 123456 。

作为文件形式存在的证书，一般有三类：

A.

包含有私钥的证书，包含了公钥和私钥，用pkcs12标准，而一仿宴般以pfx 作为扩展名；

B.

DER 编码证书，不含私钥，以cer 结尾，文件是二进制data. 通常CA(无论是intermediate CA还是root CA)证书都是这类；

C.

BASE64编码的证书，这唤竖类证书也不含私钥，一般也以cer结尾，是pem证书, 这类证书可以直接cat 出结果, 特征是”-----BEGIN CERTIFICATE----- “开头，“-----END CERTIFICATE-----”结尾；

对于DER/PEM证书，可以通过openssl 来确认其编码类型（假设要查看的证书是client_cert.cer）备链银：

openssl x509 -in ./client_cert.cer -inform pem -noout -text

openssl x509 -in ./client_ert.cer -inform der -noout -text

jks 是java key store 的简称，也就是java 常用的证书文件. jks 证书文件一般包含私钥以及签名的cert一起组成的. 要生成jks 可以使用java 的keytool工具 以及openssl 来完成，没有特殊需求的情况先，可以只用这两个工具就可以了：

基本的过程是这样的：

具体的步骤如下：

上述创建私钥以及生成CSR的过程，可以用keytool工具来实现（MW的support 人员更乐于用keytool工具来实现），具体为：

上述步骤就成功创建了csr文件，并且成功获得了对应的private key. （无论是基于openssl 命令还是keytool命令）

然后需要将csr发送给证书签发者，然后证书签发者进行证书的签发签发后，一般会发回 crt 证书文件. 以及root ca, intermediate ca 还有签发的pem证书；

后面的步骤是创建证书链：

查看证书：

keytool -list -v -keystore test_keystore2.jks -storepass xoxoxo

查看证书请求文件:

keytool -printcertreq -file www.mydomain.com_certreq.csr

查看已经签名的证书:

keytool -printcert -file GlobalSign_cert.cer

如何通过本机简单验证ssl 证书是否正确呢？ 用openssl 命令在本机开启ssl 的服务器和客户端，然后用ssl 方式进行连接进行验证：

然后看输出的结果，就知道是否证书是ok的；

diff -eq <(openssl x509 -pubkey -noout -in mycert.crt) <(openssl rsa -pubout -in mycert.key)

---