[SSL證書(shū)轉(zhuǎn)換(一)]關(guān)于JKS 轉(zhuǎn)換成 CRT 和 KEY

tolerious 發(fā)布于2019-08-16 17:10 / 3851人閱讀

摘要：證書(shū)轉(zhuǎn)換一關(guān)于轉(zhuǎn)換成和之前遇到個(gè)問(wèn)題，客戶(hù)做小程序系統(tǒng)，而小程序前后端交互需要協(xié)議，因此就需要在后端前置服務(wù)器配置證書(shū)。在證書(shū)轉(zhuǎn)換和證書(shū)配置過(guò)程中，以及后續(xù)的實(shí)際生產(chǎn)部署的過(guò)程中，也遇到了各種坑。

[SSL證書(shū)轉(zhuǎn)換(一)]關(guān)于JKS 轉(zhuǎn)換成 CRT 和 KEY

之前遇到個(gè)問(wèn)題，客戶(hù)做小程序系統(tǒng)，而小程序前后端交互需要https協(xié)議，因此就需要在后端nginx前置服務(wù)器配置SSL證書(shū)。而客戶(hù)給的SSL證書(shū)，是Java版的jks證書(shū)；且客戶(hù)提供的配置好基本環(huán)境的nginx，所需要的證書(shū)是crt和key組合形式，因此需要進(jìn)行證書(shū)轉(zhuǎn)換。在證書(shū)轉(zhuǎn)換和證書(shū)配置過(guò)程中，以及后續(xù)的實(shí)際生產(chǎn)部署的過(guò)程中，也遇到了各種坑。[強(qiáng)烈建議，有錢(qián)的用戶(hù)，或者省事的用戶(hù)，使用云服務(wù)器，不要自建服務(wù)器，這樣可以有免費(fèi)的ssl證書(shū)，可以很簡(jiǎn)單的配置]

現(xiàn)在簡(jiǎn)單記錄下配置的步驟：

1.拿到j(luò)ks證書(shū)，和證書(shū)密碼(確認(rèn)沒(méi)有密碼的，拿刀找你們運(yùn)維去，或找供應(yīng)方去) 2.先將jks 轉(zhuǎn)換成p12格式，具體命令如下:

keytool -importkeystore -srckeystore C:certserver.jks -destkeystore C:certserver.p12 -srcstoretype jks -deststoretype pkcs12

輸入命令后，會(huì)提示你三步驟，需要輸入口令(建議輸入相同的口令，就是你的jks口令，防止后續(xù)證書(shū)轉(zhuǎn)換忘記密碼)
 1).輸入目標(biāo)密鑰庫(kù)口令:
 2).再次輸入新口令:
 3).輸入源密鑰庫(kù)口令:
 接下來(lái)就會(huì)提示你如下：
 已成功導(dǎo)入別名 ca_root 的條目
 已完成導(dǎo)入命令: 1 個(gè)條目成功導(dǎo)入, 0 個(gè)條目失敗或取消
 到了這一步，說(shuō)明已經(jīng)OK了，剩下的就是轉(zhuǎn)換成crt證書(shū)和key了  3.將p12轉(zhuǎn)換成crt證書(shū), 命令如下：

openssl pkcs12 -in C:certserver.p12 -nokeys -clcerts -out C:certserver.crt

4.將p12生成非加密的key, 命令如下：

openssl pkcs12 -in C:certserver.p12 -nocerts -nodes -out C:certserver.key

5.將證書(shū)配置到nginx以后，重啟nginx服務(wù)器  6.使用ssl漏洞掃描工具，檢驗(yàn)證書(shū)鏈的完整性，并獲取證書(shū)鏈(防止小程序報(bào): fail ssl hand shake error)，推薦地址https://myssl.com/chain_download.html
7.拷貝證書(shū)鏈以后，將服務(wù)器上server.crt內(nèi)容替換，重啟nginx(或nginx -s reload)  
8.如果還不行，(比如：網(wǎng)頁(yè)訪(fǎng)問(wèn)，依然不安全) 請(qǐng)清空緩存，刷新
ps : 至于以上的命令，比如: keytool、openssl哪里來(lái)？你問(wèn)我？問(wèn)我為什么不安裝下呢？百度啊！