第一步:安装转换所需的运行环境
转换证书需要使用本地拥有 OpenSSL 和 JDK 运行环境,如果没有可以参考 《 OpenSSL 安装教程 》 和 《 Java 安装教程 》
第二步:合并证书链
完整的证书拥有四个部分
根证书
中级证书
域名证书
证书私钥
我们以 Digicert 品牌证书为例,您将收到以下三个文件
我们以 Comodo 品牌证书为例,您将收到以下四个文件
文件名称 | 文件说明 |
---|---|
AddTrustExternalCARoot.crt | 根证书 |
COMODORSAAddTrustCA.crt | 中级证书 |
COMODORSADomainValidationSecureServerCA.crt | 中级证书 |
129688217.crt | 域名证书 |
我们需要按照 域名证书 – 中级证书 – 根证书 的顺序合并为证书链才能被绝大多数浏览器信任。
Digicert 合并顺序:
我们用打开各个证书文件
我们用记事本打开各个证书文件,按照下图顺序保存到新文件并且重命名为 SSLGworg.crt
omodo 合并顺序: Comodo 合并有一个例外,我们需要按照
129688217.crt
COMODORSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
AddTrustExternalCARoot.crt 的顺序合并证书,具体顺序如下图。
第三步:转换所需证书格式
转换 IIS 服务器所需 PFX 证书格式
我们打开命令提示符输入以下命令:
openssl pkcs12 -export -out D:\SSL\SSLGworg.pfx -inkey D:\SSL\SSLGworg.key -in D:\SSL\SSLGworg.crt
代码属性 | 代码说明 |
---|---|
D:\SSL\SSLGworg.pfx | PFX 输出路径 |
D:\SSL\SSLGworg.key | 私钥文件路径 |
D:\SSL\SSLGworg.crt | CRT 文件路径 |
转换 Tomcat 服务器所需 JKS 证书格式
1.首先我们需要先将CRT格式转换成P12格式,我们打开命令提示符输入以下命令:
openssl pkcs12 -export -clcerts -in D:\SSL\SSLGworg.crt -inkey D:\SSL\SSLGworg.key -out D:\SSL\SSLGworg.p12
代码属性 | 代码说明 |
---|---|
D:\SSL\SSLGworg.p12 | P12 输出路径 |
D:\SSL\SSLGworg.key | 私钥文件路径 |
D:\SSL\SSLGworg.crt | CRT文件路径 |
2.然后我们将P12格式转换成JKS格式,我们打开命令提示符输入以下命令:
keytool -importkeystore -srckeystore D:\SSL\SSLGworg.p12 -destkeystore D:\SSL\SSLGworg.jks -srcstoretype pkcs12 -deststoretype jks
代码属性 | 代码说明 |
---|---|
D:\SSL\SSLGworg.jks | JKS 输出路径 |
D:\SSL\SSLGworg.p12 | P12文件路径 |
3.完整流程如下图: