主流 Web 服务软件证书

一般来说，主流的 Web 服务软件，通常都基于 OpenSSL 和 Java 两种基础密码库。

• Tomcat、Weblogic、JBoss等Web服务软件，一般使用Java提供的密码库。通过Java Development Kit （JDK）工具包中的Keytool工具，生成Java Keystore（JKS）格式的证书文件。
• Apache、Nginx等Web服务软件，一般使用OpenSSL工具提供的密码库，生成PEM、KEY、CRT等格式的证书文件。
• IBM的Web服务产品，如Websphere、IBM Http Server（IHS）等，一般使用IBM产品自带的iKeyman工具，生成KDB格式的证书文件。
• 微软Windows Server中的Internet Information Services（IIS）服务，使用Windows自带的证书库生成PFX格式的证书文件。

判断证书文件是文本格式还是二进制格式

您可以使用以下方法简单区分带有后缀扩展名的证书文件：

• .DER或.CER文件： 这样的证书文件是二进制格式，只含有证书信息，不包含私钥。
• .CRT文件： 这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与 .DER及.CER证书文件相同。
• .PEM文件： 这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。 .PEM 文件如果只包含私钥，一般用.KEY文件代替。
• .PFX或.P12文件： 这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。

使用openssl生成P12证书具体流程如下：

一、生成私钥

1、生成RSA私钥

（1）、生成RSA1024私钥

openssl genrsa -out ca-key.pem 1024
（2）、生成RSA2048私钥

openssl genrsa -out ca-key.pem 2048
（3）、生成RSA3072私钥

openssl genrsa -out ca-key.pem 3072
（4）、生成RSA4096私钥

openssl genrsa -out ca-key.pem 4096
2、生成SM2私钥

openssl ecparam -genkey -name SM2 -out ca-key.pem
3、生成ECC私钥

（1）、生成nist p256私钥

openssl ecparam -genkey -name P-256 -out ca-key.pem
（2）、生成nist p384私钥

openssl ecparam -genkey -name P-384 -out ca-key.pem
（3）、生成nist p521私钥

openssl ecparam -genkey -name P-521 -out ca-key.pem
分别使用上述命令，生成了不同类型的，同一名称的私钥ca-key.pem。

二、使用私钥生成证书请求数据

openssl req -new -out ca-req.csr -key ca-key.pem
通过上述命令，使用私钥数据ca-key.pem，生成了一个名称为ca-req.csr的证书请求。

三、使用证书请求生成x509证书，并进行自签名，设置证书有效日期

openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 3650
通过上述指令，使用ca-req.csr证书请求数据和签名私钥ca-key.pem数据，生成了一个名称为ca-cert.pem，使用日期为10年的x509证书。

四、使用x509证书和私钥生成p12证书

openssl pkcs12 -export -clcerts -in ca-cert.pem -inkey ca-key.pem -out ca.p12
 

根据提供的证书，生成P12证书，如下：

第一步生成P12证书：

openssl pkcs12 -export -in *.pem -inkey *.key -out server.p12

第二步使用P12证书生成Tomcat证书：

keytool -importkeystore -v -srckeystore server.p12 -srcstoretype pkcs12 -srcstorepass "qfdjkjojo" -destkeystore server.keystore -deststoretype jks -deststorepass "qfdjkjojo" &>/dev/null

其中qfdjkjojo是证书密码，server.keystore是生成的证书名称，可以自定义

执行完以上步骤后，拿到生成的server.keystore证书文件

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="1024" acceptCount="1024" maxConnections="2048" connectionTimeout="20000" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/server.keystore" keystorePass="qfdjkjojo" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" />