如何使用Keytool工具生成證書Keystore和證書簽名請求檔案?

備注： 本指導說明适用以下類型伺服器:

　　Apache Tomcat

　　Java Web Servers

　　在申請伺服器證書時，使用者需要提供證書簽名請求檔案(CSR)。CSR檔案是一個從您的伺服器生成的加密資料檔案，包含了您的公司資訊和web server資訊。

　　一、 建立證書Keystore

　　keytool -genkey -alias -keyalg RSA –keysize 2048 -keystore

　　重要:

　　! 當建立時必須制定您的keystore 位置;

　　! 如果您正在續訂您的證書，您必須建立新的key pair 和 keystore;

　　! 建立您的CSR和安裝您的證書，您使用它來建立自簽名的密鑰存儲庫時，請使用相同的别名。

　　例如:

　　C:\> keytool -genkey -alias myalias -keysize 2048 -keyalg RSA -keystore c:\.mykeystore

　　輸入keystore密碼: password (請輸入保護證書密鑰的密碼)

　　您的名字與姓氏是什麼?請輸入域名,例如：www.etsec.com.cn

　　您的組織機關名稱是什麼?請輸入機關名稱，如: Beijing eTsec Technology Co.,Ltd.

　　您的組織名稱是什麼?請輸入部門名稱，如： IT Dept

　　您所在的城市或區域名稱是什麼?輸入城市名稱，如：Beijing

　　您所在的州或省份名稱是什麼?輸入省份名稱，如：Beijing

　　該機關的兩字母國家代碼是什麼?中國請輸入CN

　　CN=www.etsec.com.cn, OU= Beijing eTsec, O=IT, L= Beijing, ST= Beijing, C=CN 正确嗎?輸入 Y

　　輸入的主密碼(如果和 keystore 密碼相同，按回車)：按回車

　　確定記住您所輸入的密碼，注意生成CSR時，在第2部分中會使用它。

　　二、生成證書簽名請求(CSR)

　　1. keytool -certreq -keyalg RSA -alias -file certreq.csr -keystore

　　重要:

　　! 建立您的CSR和安裝您的證書，您使用它來建立自簽名的密鑰存儲庫時，請使用相同的别名。

　　例如:

　　C:\>keytool -certreq -keyalg RSA -alias myalias -file certreq.txt -keystore c:\.mykeystore

　　輸入keystore密碼:

　　2. 打開生成CSR檔案certreq.txt 。這個CSR檔案顯示如下: 

-----BEGIN NEW CERTIFICATE REQUEST----- MIIBujCCASMCAQAwejELMAkGA1UEBhMCQ0ExEDAOBgNVBAgTB09udGFyaW8xDzANBgNVBAcTBk90 dGF3YTEQMA4GA1UEChMHRW50cnVzdDETMBEGA1UECxMKRW50cnVzdCBDUzEhMB8GA1UEAxMYd3d3 5w6T+

-----BEGIN NEW CERTIFICATE REQUEST----- MIIBujCCASMCAQAwejELMAkGA1UEBhMCQ0ExEDAOBgNVBAgTB09udGFyaW8xDzANBgNVBAcTBk90 dGF3YTEQMA4GA1UEChMHRW50cnVzdDETMBEGA1UECxMKRW50cnVzdCBDUzEhMB8GA1UEAxMYd3d3 5w6T+q/f+wIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAF+0hqAqXumz/vGrzGVhKHlnxd7HW3ezS GIbIUcOy1YdDc/1ZCqRpu3utYIZ6welK++l+QjlbL6p5RJJETkkLKXjb/WVFajNuPl7Yob9pbwA7 JBrCCKbFj+kzDNbGhCR1RgFA9vQj5vob41Vj+k+TQchliuTLL9rFXNDHrtgTMtA= -----END NEW CERTIFICATE REQUEST-----