https证书

http://blog.csdn.net/kamouswjw/article/details/39050995

一.生成证书

生成CA证书。目前不使用第三方权威机构的CA来认证，自己充当CA的角色。

1.创建私钥：
openssl genrsa -out root-key.pem 2048
2.创建证书请求：
openssl req -new -out root-req.csr -key root-key.pem
3.自签署证书：
openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 3650
4.将证书导出成浏览器支持的.p12格式：
openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12

密码iboxpay

生成server证书

1.创建私钥：
openssl genrsa -out server-key.pem 2048
2.创建证书请求：
openssl req -new -out server-req.csr -key server-key.pem
3.自签署证书：
openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式：
openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12

生成client证书

1.创建私钥：
openssl genrsa -out client-key.pem 2048
2.创建证书请求：
openssl req -new -out client-req.csr -key client-key.pem
3.自签署证书：
openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式：
openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12

根据server证书生成jks文件

./keytool -import -v -alias ga -file /etc/pki/CA/server/server_cert.pem -keystore /etc/pki/CA/server/keystore.jks -storepass iboxpay

./keytool -importkeystore -v -srckeystore /etc/pki/CA/server/server.p12 -srcstoretype pkcs12 -srcstorepass iboxpay -destkeystore /etc/pki/CA/server/keystore.jks -deststoretype jks

根据client证书生成jks文件

./keytool -import -alias ga -file /etc/pki/CA/client/client_cert.pem -keystore /etc/pki/CA/client/truststore.jks

四.RSA服务端加密，客户端解密

根据私钥和csr导出公钥

openssl x509 -req -in root-req.csr -out root_public_key.der -outform der -signkey root-key.pem -days 3650

如果重新来制作密钥则可以执行

openssl req -x509 -out public_key.der -outform der -new -newkey rsa:1024 -keyout private_key.pem -days 3650

这个语句等于3个作用

1)创建私钥

openssl genrsa -out private_key.pem 1024

2)创建证书请求（按照提示输入信息）

openssl req -new -out cert.csr -key private_key.pem

3)自签署根证书

openssl x509 -req -in cert.csr -out public_key.der -outform der -signkey private_key.pem -days 3650

4. 将iboxpay.keystore 、iboxpay.truststore 两个文件放到目录：${JBOSS_HOME}\standalone\configuration 目录下

iboxpay.keystore 这个你可以放服务器的p12证书

iboxpay.truststore 这个放你刚生成的jks

5、修改standalone.xml 配置文件：
    在<security-realms>节点下增加配置：
   <security-realm name="SslRealm">

    <server-identities>

     <ssl>

      <keystore path="iboxpay.keystore" relative-to="jboss.server.config.dir" keystore-password="ibox123" alias="iboxpay" key-password="ibox123" />

     </ssl>

    </server-identities>

    <authentication>

      <truststore path="iboxpay.truststore" relative-to="jboss.server.config.dir" keystore-password="ibox123" />

      <local default-user="$local"/>

      <properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>

    </authentication>

   </security-realm>

在<subsystem xmlns="urn:jboss:domain:undertow:1.2">节点下增加配置：
<https-listener name="default-ssl" socket-binding="https" security-realm="SslRealm" verify-client="REQUIRED" />

4. 将iboxpay.keystore 、iboxpay.truststore 两个文件放到目录：${JBOSS_HOME}\standalone\configuration 目录下