使用JAVA的keytool產生憑證給IIS使用

2010 10/19

由於IIS產生未經過第三方公正單位簽署的憑證實在太麻煩了，所以我決定使用JAVA的keytool來產生。


Step1. 產生keystore檔
先切換到JDK的目錄下然後輸入如下指令
D:\java\jdk1.6.0_03\bin>keytool -genkey -alias <別名> -keyalg RSA
接著輸入一連串資訊後就會產生keystore檔，keystore檔預設會放在使用者目錄下
例如:C:\Documents and Settings\user

Step2. 更新憑證有效期
因為預設的憑證有效期限是3個月，所以更改的指令如下
D:\java\jdk1.6.0_03\bin>keytool -selfcert -alias <別名> -validity 天數

Step3. 轉換成IIS在使用的PFX檔
先下載一個叫做JKS2PFX的轉換工具
然後解壓縮，之後執行如下指令
D:\java\jks2pfx>JKS2PFX < keystore文件 > < keystore密碼 > < 別名 > < 導出檔案名 > < Java Runtime的目錄 >

KeyStore文件：指Tomcat保存SSL憑證的文件
KeyStore密碼：KeyStore檔對應的密碼
Alias別名：　 產生憑證CSR時，所起的Alias別名
導出檔案名：　準備導出的檔案名稱 (不要帶副檔名)
Java Runtime的目錄(可選)： 指包含Java.exe和keytool.exe的目錄，如： c:\progra~1\Java\jre1.5.0_06\bin

之後就會匯出3個檔案 exportfile.key、exportfile.crt、exportfile.pfx
exportfile.pfx可以導入到微軟的IIS中，exportfile.key和exportfile.crt 可用於Apache或者OpenSSL相容的系統

參考資料：
1.http://www.myssl.com.tw/guide/back_restore.asp
2.http://docs.sun.com/app/docs/doc/820-4607/ablrb?l=zh_TW&a=view