用Keytool和OpenSSL生成和签发数字证书

一）keytool生成私钥文件(.key)和签名请求文件(.csr)，openssl签发数字证书
      J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool，用于管理密钥、证书和证书链。Keytool工具的命令在JavaSE6中已经改变，不过以前的命令仍然支持。Keytool也可以用来管理对称加密算法中的密钥。

最简单的命令是生成一个自签名的证书，并把它放到指定的keystore文件中：

keytool -genkey -alias tomcat -keyalg RSA -keystore c:/mykey

如果c:/mykey文件不存在，keytool会生成这个文件。按照命令的提示，回答一系列问题，就生成了数字证书。注意，公共名称(cn)应该是服务器的域名。这样keystore中就存在一个别名为tomcat的实体，它包括公钥、私钥和证书。这个证书是自签名的。<o:p></o:p>

Keytool工具可以从keystore中导出证书，但是不能导出私钥。对于配置apache这样的服务器，就不太方便。这种情况下就完全用OpenSSL吧，下面将会介绍。不过keytool对于J2EE　AppServer是很有用的，它们就是用keystore存储证书链的。keystore的作用类似于windows存放证书的方式，不过跨平台了，^_^下面用Keytool生成CSR（Certificate Signing Request），并用OpenSSL生成CA签名的证书。

1.    准备
1)    在bin目录下新建目录 demoCA、demoCA/certs、demoCA/certs  、 demoCA/newcerts
2)    在demoCA建立一个空文件 index.txt
3)    在demoCA建立