自簽證書導入

A. 如何用keytool工具導入私有密鑰和自簽發證書

驗證這種做法的錯誤性，我們可分別用aaa.jks和bbb.jks來啟動Tomcat伺服器，看看能不能啟動成功。由於我們僅僅是出於驗證的目的，因此無需在Tomcat的webapps目錄里放進應用的war包文件。
先用aaa.jks來啟動Tomcat。修改Tomcat的conf\server.xml文件為：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="aaa.jks"
keystorePass="changeit" />

請把上面的aaa.jks輸入為實際的全路徑名（比如d:\aaa.jks）。完成後啟動Tomcat，此時Tomcat應能夠成功啟動。
確認成功後請關閉Tomcat，接下來我們把上面的aaa.jks換為bbb.jks，保存後重新啟動Tomcat。Tomcat將報異常：

B. 如何創建一個自簽名的SSL證書

自簽名SSL證書只適合內部使用或測試需要，網站使用自簽名SSL證書存在極大的風險：

一：自簽SSL證書最容易被假冒和偽造，被欺詐網站利用
自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

二：部署自簽SSL證書的網站，瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

三：自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站，遇到瀏覽器警告提示時，網站通常會告知用戶點擊「繼續瀏覽」，用戶逐漸養成了忽略瀏覽器警告提示的習慣，這就給了中間人攻擊可乘之機，使網站更容易受到中間人攻擊。

典型的SSL中間人攻擊就是中間人與用戶或伺服器在同一個區域網，中間人可以截獲用戶的數據包，包括SSL數據包，並做一個假的伺服器SSL證書與用戶通信，從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時，瀏覽器會警告用戶此證書不受信任，需要用戶確認是否信任此證書，用戶習慣性點擊「繼續瀏覽」，中間人攻擊輕而易舉的實現了。

四：自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書並不難，使用OpenSSL幾分鍾就搞定，但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作，其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等，證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態，一旦證書丟失或被盜而無法吊銷，就極有可能被用於非法用途而讓用戶蒙受損失。此外，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的安全警告，大大延長瀏覽器的處理時間，影響網頁的流量速度。

C. 如何用keytool工具導入私有密鑰和自簽發證書

Java製作證書的工具keytool用法總結一、keytool的概念keytool是個密鑰和證書管理工具。它使用戶能夠管理自己的公鑰/私鑰對及相關證書，用於（通過數字簽名）自我認證（用戶向別的用戶/服務認證自己）或數據完整性以及認證服務。在JDK1.4以後的版本中都包含了這一工具，它的位置為%JAVA_HOME%\bin\keytool.ex二、keytool的用法三、創建證書創建證書主要是使用"-genkeypair"，該命令的可用參數如下：範例：生成一個名稱為test1的證書Cmd代碼1keytool-genkeypair-alias"test1"-keyalg"RSA"-keystore"test.keystore"功能：創建一個別名為test1的證書，該證書存放在名為test.keystore的密鑰庫中，若test.keystore密鑰庫不存在則創建。參數說明：-genkeypair：生成一對非對稱密鑰;-alias：指定密鑰對的別名，該別名是公開的;-keyalg：指定加密演算法，本例中的採用通用的RAS加密演算法;-keystore:密鑰庫的路徑及名稱，不指定的話，默認在操作系統的用戶目錄下生成一個".keystore"的文件

D. 蘋果怎麼自簽證書

對於蘋果用戶我相信有不少的煩惱，尤其是氪金比安卓高，但是蘋果又不像安卓一樣，app要錢，下破解版就是了，但是蘋果不一樣，因為系統注重安全，所以很多破解軟體沒越獄的情況下跟本安裝不上，其實蘋果並且不是想像的那麼完美，蘋果不越獄也能裝破解版app，只是需要簽個名，沒法簽名也沒事，下面來看看怎麼做吧！

一、自簽教程

自簽目前有兩款軟體，一款是閃電簽，一款是appcake


2、appacke的使用方法

a、先下載好你需要的ipa文件，我以UTM虛擬機（神器，可以裝手機window系統、ios運行安卓系統、Linux等，要求手機配置高才能愉快玩耍）為例，據我了解，UTM官方只提供了ipa包，未經過官方簽名，所以需要我們自簽，我們在沒有電腦時就可以用appcake。


b、導入ipa到AppCake。選擇系統分享——拷貝到AppCake——Appcake內點擊Download找到自己導入的包——點擊——選擇install或者Custom Install——等待載入完成即可安裝使用！




二、閃電簽

閃電簽是近期上線App Store的一款應用，大家可在應用商店自行下載，這款不同於上款就是需要自帶證書，下面是某資源群的證書，點擊下載的證書——選擇導入到閃電簽——閃電簽會提示缺少描述文件以同樣的方式導入——導入要安裝的ipa文件——點擊ipa選擇簽名——安裝！


這里只說了軟體自簽的方法，但是如果自簽App掉簽或者沒有證書怎麼辦呢？不要擔心，下期我來教你們無視證書！

關注我，不越獄也能讓你的iPhone玩得飛起來一般蘋果企業簽名，要穩定簽名證書分發遠離掉簽的方法如下：

1、准備CSR文件。准備一台Mac機。這里需要用到一個蘋果自帶的KeyAccess的軟體，用來生成證書的申請文件。



福特銳際 風尚高性能SUV
廣告

2、點擊「從證書頒發機構請求證書」後，輸入郵箱，名字，需要提醒一下的是，一般選擇「存儲到磁碟」，把申請文件存在硬碟上，後面需要上傳這個文件到蘋果後台。



3、申請證書。准備好證書的申請文件後，就應該是申請證書了。證書分成開發證書和發布證書，其中蓋特風簽名的時候有沒有推送功能又是不同的，根據實際應用的功能選擇證書的種類。

4、然後上傳剛剛生成的CSR文件。

5、按下Generate後，稍等一會，證書就生成了，下載然後安裝到本機。

E. 如何用keytool工具導入私有密鑰和自簽發證書

開發時我們常常使用JDK自帶的keytool工具來創建自簽發的證書，並保存到密鑰庫文件中。如果要把一個密鑰庫導入到另一個密鑰庫（比如到另一台機器上安裝，同時又不想用覆蓋文件的方式），那該怎麼操作呢？
比如，我們從aaa.jks里把別名為tomcat的內容導入到bbb.jks里。一個錯覺是先從aaa.jks導出證書、再導入到bbb.jks里。
為說明錯誤情況，我們從頭做起。先生成別名為tomcat的證書，並保存到aaa.jks里：
keytool -keystore aaa.jks -genkey -keyalg RSA -alias tomcat

然後把證書導出到tomcat.cert文件：
keytool -keystore aaa.jks -export -file tomcat.cert -alias tomcat

接著把tomcat.cert導入到bbb.jks里：
keytool -keystore bbb.jks -import -file tomcat.cert -alias tomcat

為驗證這種做法的錯誤性，我們可分別用aaa.jks和bbb.jks來啟動Tomcat伺服器，看看能不能啟動成功。由於我們僅僅是出於驗證的目的，因此無需在Tomcat的webapps目錄里放進應用的war包文件。
先用aaa.jks來啟動Tomcat。修改Tomcat的conf\server.xml文件為：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="aaa.jks"
keystorePass="changeit" />

請把上面的aaa.jks輸入為實際的全路徑名（比如d:\aaa.jks）。完成後啟動Tomcat，此時Tomcat應能夠成功啟動。
確認成功後請關閉Tomcat，接下來我們把上面的aaa.jks換為bbb.jks，保存後重新啟動Tomcat。Tomcat將報異常：

嚴重: Failed to initialize connector [Connector[HTTP/1.1-8443]]
org.apache.catalina.LifecycleException: Failed to initialize component [Connector[HTTP/1.1-8443]]
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:106)
at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:814)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
at org.apache.catalina.startup.Catalina.load(Catalina.java:633)
at org.apache.catalina.startup.Catalina.load(Catalina.java:658)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:281)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:450)
Caused by: org.apache.catalina.LifecycleException: Protocol handler initialization failed
at org.apache.catalina.connector.Connector.initInternal(Connector.java:983)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
... 12 more
Caused by: java.io.IOException: Alias name tomcat does not identify a key entry
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getKeyManagers(JSSESocketFactory.java:567)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getKeyManagers(JSSESocketFactory.java:505)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init(JSSESocketFactory.java:449)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSocket(JSSESocketFactory.java:158)
at org.apache.tomcat.util.net.JIoEndpoint.bind(JIoEndpoint.java:393)
at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:610)
at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:429)
at org.apache.coyote.http11.AbstractHttp11JsseProtocol.init(AbstractHttp11JsseProtocol.java:119)
at org.apache.catalina.connector.Connector.initInternal(Connector.java:981)
... 13 more

為什麼用bbb.jks啟動不了呢？為此我們分別檢查一下aaa.jks和bbb.jks里的內容。
下面是aaa.jks里的內容：
keytool -keystore aaa.jks -list -alias tomcat
輸入keystore密碼：
tomcat, 2012-12-2, PrivateKeyEntry,
認證指紋 (MD5)： 20:E1:74:4B:0B:35:33:FF:BE:2D:9D:B5:31:AB:3B:DE

下面是bbb.jks里的內容：
keytool -keystore bbb.jks -list -alias tomcat
輸入keystore密碼：
tomcat, 2012-12-2, trustedCertEntry,
認證指紋 (MD5)： 20:E1:74:4B:0B:35:33:FF:BE:2D:9D:B5:31:AB:3B:DE

從上面兩個輸出中可見其差別，一個是PrivateKeyEntry，另一個是trustedCertEntry。
其實，密鑰庫里保存了兩類信息，一類是私鑰，另一類是證書。證書里只有公鑰。上面導出的tomcat.cert文件為證書文件，裡面沒有私鑰。因此當我們再導入到bbb.jks時，導進去的只有證書、沒有對應的私鑰。而伺服器需要用私鑰與客戶端的公鑰通訊，因此Tomcat報了上面的異常。

那麼我們該如何正確操作呢？方法有很多，最常用的方法是不用keytool來生成證書和私鑰，而改用openssl工具。不過本文的目的是只用keytool來操作。
其實操作很簡單：
keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore bbb.jks -deststoretype jks -srckeystore aaa.jks -srcstoretype jks -srcstorepass changeit -alias tomcat

這個bbb.jks就包含了別名為tomcat的私鑰和證書了。如果不放心可再用啟動Tomcat的方法去驗證一下。
最後要說明的是，如果在keytool中不指定storetype、srcstoretype、deststoretype參數則也默認為jks。

F. 如何添加自簽名SSL證書

所謂自簽名SSL證書，就是使用openssl等工具創建的證書，並不是由受信任的CA機構簽發的。這種證書可以隨意簽發，不受約束，不受監督，因此也不受任何瀏覽器以及操作系統的信任。自簽名SSL證書的缺點如下：

第一、被「有心者」利用。

其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發，那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性，分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上，讓訪客們分不清孰真孰假。

第二、瀏覽器會彈出警告，易遭受攻擊

前面有提到自簽名SSL證書是不受瀏覽器信任的，即使網站安裝了自簽名SSL證書，當用戶訪問時瀏覽器還是會持續彈出警告，讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的，所以CA是無法識別簽名者並且不會信任它，因此私鑰也形同虛設，網站的安全性會大大降低，從而給攻擊者可乘之機。

第三、安裝容易，吊銷難

自簽名SSL證書是沒有可訪問的吊銷列表的，所以它不具備讓瀏覽器實時查驗證書的狀態，一旦證書丟失或者被盜而無法吊銷，就很有可能被用於非法用途從而讓用戶蒙受損失。同時，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的警告，不僅降低了網頁的瀏覽速度，還大大降低了訪問者對網站的信任度。

第四、超長有效期，時間越長越容易被破解

自簽名SSL證書的有效期特別長，短則幾年，長則幾十年，想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年，因為時間越長，就越有可能被黑客破解。所以超長有效期是它的一個弊端。

利弊權衡，安信SSL小編還是建議大家最好不要在網站上安裝自簽名SSL證書，天上掉下來的基本都是陷阱，找個正規靠譜的證書服務商才是真理。不妨上安信SSL了解一下，品牌和型號都比較齊全，可根據具體需求，推薦最適合您網站的SSL證書。

G. 如何自簽證書

自簽證書是什麼?

H. firefox將自簽發的證書添加到例外後，無法打開的問題

每次都可以使用 -p命令新建一個配置文檔來進行測試避免干擾。

I. 為什麼我下了自由簽證和證書，把證書導入自簽後給軟體簽名還是不能安裝

先確定這個軟體是否支持你機器系統版本，然後看軟體原先是否是sisx屬性的，如果是的話先去除簽名使其變為sis屬性，再用簽名工具簽一下自己的證書即可。

J. 如何添加自簽名SSL證書 自簽名SSL證書存風險

所謂自簽SSL證書，是指不受信任的任意機構或個人，使用工具自己簽發的SSL證書。自簽名SSL證書可以隨意簽發，沒有第三方監督審核，不受瀏覽器和操作系統信任，常被用於偽造證書進行中間人攻擊，劫持SSL加密流量。很多網站為了節約成本，採用自簽名SSL證書，其實是給自己的網站埋下了一顆定時炸彈，隨時可能被黑客利用。

網站使用自簽SSL證書存在極大的風險，主要來自以下幾個方面：

自簽SSL證書最容易被假冒和偽造，被欺詐網站利用

自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

而權威CA機構受國際標准組織審計監督，不可隨意簽發證書，必須嚴格認證申請者身份才能簽發全球唯一的證書，不會出現被偽造的問題。正規SSL證書支持所有瀏覽器，由瀏覽器內置的可靠驗證機制，自動識別SSL證書的真實信息和證書狀態，如果出現證書綁定域名與實際域名不符、證書已吊銷或已過期等異常情況，瀏覽器會自動發出警告提醒用戶「此網站安全證書存在問題」，假冒網站無處遁形！

部署自簽SSL證書的網站，瀏覽器會持續彈出警告

自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

光網Gworg是全球信任的CA機構，連續多年通過Webtrust國際審計，嚴格按照國際標准驗證審核，可簽發的正規SSL證書，支持所有瀏覽器。必須通過審核才能簽發，不能隨意獲取。光網CA全球獨家提供2年期多域名SSL證書，讓所有網站都能啟用全球信任的SSL證書加密，保護用戶數據傳輸安全，無需再使用自簽證書。也可以淘寶搜索：Gworg獲取證書。