为tomcat制作sha-256自签名证书

首先打开命令提示符窗口，切换到openssl安装目录的bin目录下。

然后需要你自己定义生成文件的制定路径，比如我是直接生成到F:\cert下了，如果你没有cert文件夹，需要生成一个。使用的工具呢是OpenSSL,后续我也会把我用到的工具等都上传上去，供大家下载。废话不多说，直接进入：

一、制作CA证书：

1 生成ca.key

openssl genrsa -out F:\cert\ca.key 2048

2生成ca.cer

openssl req -new -x509 -days 36500 -key F:\cert\ca.key -sha256 -out F:\cert\ca.crt -subj /CN="MyCa"

二、制作自签名sha-256的SSL证书

1.生成SSL证书的密钥

openssl genrsa -out F:\cert\service.key2048

2.生成csr证书，此处指定IP，我这生成的是192.168.10.6：

openssl req -new -key F:\cert\service.key-subj /CN=192.168.10.6 -sha256 -out F:\cert\service.csr

3.检查 csr 的正确性，通过下面的指令可以看到生成的证书的信息，查看是否是sha256RSA等：

openssl req -in F:\cert\service.csr -text

4.利用 ca 生成 crt（此处需要在生成证书的位置有一个ca.crl的文件，我自己创建了一个里边放了一个01）：

openssl x509 -req -days 36500 -inF:\cert\service.csr -CA F:\cert\ca.crt -CAkey F:\cert\ca.key -sha256 -outF:\cert\service.crt

5.再次检查 crt 的正确性：

openssl x509 -in F:\cert\service.crt –text

6 使用crt生成tomcat下的.p12，此处会要求设置一个密码，为了方便，设置为123456：

opensslpkcs12 -export -in F:\cert\service.crt -inkey F:\cert\service.key -outF:\cert\server.p12

7 生成tomcat下的keystore，此处也要设置密码，为123456，然后姓氏填写你的IP，其他忽略，回车直到询问确定，输入y，一路回车，OK

keytool -genkey -v -alias tomcat -keyalg RSA -keystore F:\cert\tomcat.keystore-validity 36500

8 将生成的.p12导入到tomcat的keystore中

keytool -importkeystore -v -srckeystore f:\cert\server.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore F:\cert\server.keystore -deststoretype jks -deststorepass 123456

9.显示导入成功，为完成。

我使用的工具OpenSSL和ca.srl下载地址：

  

http://download.csdn.net/detail/wang_qian_kun/9779390