自签证书导入

A. 如何用keytool工具导入私有密钥和自签发证书

验证这种做法的错误性，我们可分别用aaa.jks和bbb.jks来启动Tomcat服务器，看看能不能启动成功。由于我们仅仅是出于验证的目的，因此无需在Tomcat的webapps目录里放进应用的war包文件。
先用aaa.jks来启动Tomcat。修改Tomcat的conf\server.xml文件为：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="aaa.jks"
keystorePass="changeit" />

请把上面的aaa.jks输入为实际的全路径名（比如d:\aaa.jks）。完成后启动Tomcat，此时Tomcat应能够成功启动。
确认成功后请关闭Tomcat，接下来我们把上面的aaa.jks换为bbb.jks，保存后重新启动Tomcat。Tomcat将报异常：

B. 如何创建一个自签名的SSL证书

自签名SSL证书只适合内部使用或测试需要，网站使用自签名SSL证书存在极大的风险：

一：自签SSL证书最容易被假冒和伪造，被欺诈网站利用
自签SSL证书是可以随意签发的，不受任何监管，您可以自己签发，别人也可以自己签发。如果您的网站使用自签SSL证书，那黑客也可以伪造一张一模一样的自签证书，用在钓鱼网站上，伪造出有一样证书的假冒网银网站！

二：部署自签SSL证书的网站，浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的，用户访问部署了自签SSL证书的网站时，浏览器会持续弹出安全警告，极大影响用户体验。

三：自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站，遇到浏览器警告提示时，网站通常会告知用户点击“继续浏览”，用户逐渐养成了忽略浏览器警告提示的习惯，这就给了中间人攻击可乘之机，使网站更容易受到中间人攻击。

典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并做一个假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。当网站被假的SSL证书替换时，浏览器会警告用户此证书不受信任，需要用户确认是否信任此证书，用户习惯性点击“继续浏览”，中间人攻击轻而易举的实现了。

四：自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟就搞定，但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等，证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态，一旦证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。此外，浏览器还会发出“吊销列表不可用，是否继续？”的安全警告，大大延长浏览器的处理时间，影响网页的流量速度。

C. 如何用keytool工具导入私有密钥和自签发证书

Java制作证书的工具keytool用法总结一、keytool的概念keytool是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。在JDK1.4以后的版本中都包含了这一工具，它的位置为%JAVA_HOME%\bin\keytool.ex二、keytool的用法三、创建证书创建证书主要是使用"-genkeypair"，该命令的可用参数如下：范例：生成一个名称为test1的证书Cmd代码1keytool-genkeypair-alias"test1"-keyalg"RSA"-keystore"test.keystore"功能：创建一个别名为test1的证书，该证书存放在名为test.keystore的密钥库中，若test.keystore密钥库不存在则创建。参数说明：-genkeypair：生成一对非对称密钥;-alias：指定密钥对的别名，该别名是公开的;-keyalg：指定加密算法，本例中的采用通用的RAS加密算法;-keystore:密钥库的路径及名称，不指定的话，默认在操作系统的用户目录下生成一个".keystore"的文件

D. 苹果怎么自签证书

对于苹果用户我相信有不少的烦恼，尤其是氪金比安卓高，但是苹果又不像安卓一样，app要钱，下破解版就是了，但是苹果不一样，因为系统注重安全，所以很多破解软件没越狱的情况下跟本安装不上，其实苹果并且不是想象的那么完美，苹果不越狱也能装破解版app，只是需要签个名，没法签名也没事，下面来看看怎么做吧！

一、自签教程

自签目前有两款软件，一款是闪电签，一款是appcake


2、appacke的使用方法

a、先下载好你需要的ipa文件，我以UTM虚拟机（神器，可以装手机window系统、ios运行安卓系统、Linux等，要求手机配置高才能愉快玩耍）为例，据我了解，UTM官方只提供了ipa包，未经过官方签名，所以需要我们自签，我们在没有电脑时就可以用appcake。


b、导入ipa到AppCake。选择系统分享——拷贝到AppCake——Appcake内点击Download找到自己导入的包——点击——选择install或者Custom Install——等待加载完成即可安装使用！




二、闪电签

闪电签是近期上线App Store的一款应用，大家可在应用商店自行下载，这款不同于上款就是需要自带证书，下面是某资源群的证书，点击下载的证书——选择导入到闪电签——闪电签会提示缺少描述文件以同样的方式导入——导入要安装的ipa文件——点击ipa选择签名——安装！


这里只说了软件自签的方法，但是如果自签App掉签或者没有证书怎么办呢？不要担心，下期我来教你们无视证书！

关注我，不越狱也能让你的iPhone玩得飞起来一般苹果企业签名，要稳定签名证书分发远离掉签的方法如下：

1、准备CSR文件。准备一台Mac机。这里需要用到一个苹果自带的KeyAccess的软件，用来生成证书的申请文件。



福特锐际 风尚高性能SUV
广告

2、点击“从证书颁发机构请求证书”后，输入邮箱，名字，需要提醒一下的是，一般选择“存储到磁盘”，把申请文件存在硬盘上，后面需要上传这个文件到苹果后台。



3、申请证书。准备好证书的申请文件后，就应该是申请证书了。证书分成开发证书和发布证书，其中盖特风签名的时候有没有推送功能又是不同的，根据实际应用的功能选择证书的种类。

4、然后上传刚刚生成的CSR文件。

5、按下Generate后，稍等一会，证书就生成了，下载然后安装到本机。

E. 如何用keytool工具导入私有密钥和自签发证书

开发时我们常常使用JDK自带的keytool工具来创建自签发的证书，并保存到密钥库文件中。如果要把一个密钥库导入到另一个密钥库（比如到另一台机器上安装，同时又不想用覆盖文件的方式），那该怎么操作呢？
比如，我们从aaa.jks里把别名为tomcat的内容导入到bbb.jks里。一个错觉是先从aaa.jks导出证书、再导入到bbb.jks里。
为说明错误情况，我们从头做起。先生成别名为tomcat的证书，并保存到aaa.jks里：
keytool -keystore aaa.jks -genkey -keyalg RSA -alias tomcat

然后把证书导出到tomcat.cert文件：
keytool -keystore aaa.jks -export -file tomcat.cert -alias tomcat

接着把tomcat.cert导入到bbb.jks里：
keytool -keystore bbb.jks -import -file tomcat.cert -alias tomcat

为验证这种做法的错误性，我们可分别用aaa.jks和bbb.jks来启动Tomcat服务器，看看能不能启动成功。由于我们仅仅是出于验证的目的，因此无需在Tomcat的webapps目录里放进应用的war包文件。
先用aaa.jks来启动Tomcat。修改Tomcat的conf\server.xml文件为：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="aaa.jks"
keystorePass="changeit" />

请把上面的aaa.jks输入为实际的全路径名（比如d:\aaa.jks）。完成后启动Tomcat，此时Tomcat应能够成功启动。
确认成功后请关闭Tomcat，接下来我们把上面的aaa.jks换为bbb.jks，保存后重新启动Tomcat。Tomcat将报异常：

严重: Failed to initialize connector [Connector[HTTP/1.1-8443]]
org.apache.catalina.LifecycleException: Failed to initialize component [Connector[HTTP/1.1-8443]]
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:106)
at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:814)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
at org.apache.catalina.startup.Catalina.load(Catalina.java:633)
at org.apache.catalina.startup.Catalina.load(Catalina.java:658)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:281)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:450)
Caused by: org.apache.catalina.LifecycleException: Protocol handler initialization failed
at org.apache.catalina.connector.Connector.initInternal(Connector.java:983)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
... 12 more
Caused by: java.io.IOException: Alias name tomcat does not identify a key entry
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getKeyManagers(JSSESocketFactory.java:567)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getKeyManagers(JSSESocketFactory.java:505)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init(JSSESocketFactory.java:449)
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSocket(JSSESocketFactory.java:158)
at org.apache.tomcat.util.net.JIoEndpoint.bind(JIoEndpoint.java:393)
at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:610)
at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:429)
at org.apache.coyote.http11.AbstractHttp11JsseProtocol.init(AbstractHttp11JsseProtocol.java:119)
at org.apache.catalina.connector.Connector.initInternal(Connector.java:981)
... 13 more

为什么用bbb.jks启动不了呢？为此我们分别检查一下aaa.jks和bbb.jks里的内容。
下面是aaa.jks里的内容：
keytool -keystore aaa.jks -list -alias tomcat
输入keystore密码：
tomcat, 2012-12-2, PrivateKeyEntry,
认证指纹 (MD5)： 20:E1:74:4B:0B:35:33:FF:BE:2D:9D:B5:31:AB:3B:DE

下面是bbb.jks里的内容：
keytool -keystore bbb.jks -list -alias tomcat
输入keystore密码：
tomcat, 2012-12-2, trustedCertEntry,
认证指纹 (MD5)： 20:E1:74:4B:0B:35:33:FF:BE:2D:9D:B5:31:AB:3B:DE

从上面两个输出中可见其差别，一个是PrivateKeyEntry，另一个是trustedCertEntry。
其实，密钥库里保存了两类信息，一类是私钥，另一类是证书。证书里只有公钥。上面导出的tomcat.cert文件为证书文件，里面没有私钥。因此当我们再导入到bbb.jks时，导进去的只有证书、没有对应的私钥。而服务器需要用私钥与客户端的公钥通讯，因此Tomcat报了上面的异常。

那么我们该如何正确操作呢？方法有很多，最常用的方法是不用keytool来生成证书和私钥，而改用openssl工具。不过本文的目的是只用keytool来操作。
其实操作很简单：
keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore bbb.jks -deststoretype jks -srckeystore aaa.jks -srcstoretype jks -srcstorepass changeit -alias tomcat

这个bbb.jks就包含了别名为tomcat的私钥和证书了。如果不放心可再用启动Tomcat的方法去验证一下。
最后要说明的是，如果在keytool中不指定storetype、srcstoretype、deststoretype参数则也默认为jks。

F. 如何添加自签名SSL证书

所谓自签名SSL证书，就是使用openssl等工具创建的证书，并不是由受信任的CA机构签发的。这种证书可以随意签发，不受约束，不受监督，因此也不受任何浏览器以及操作系统的信任。自签名SSL证书的缺点如下：

第一、被“有心者”利用。

其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发，那么同样别人也可以签发。黑客正好利用其随意签发性，分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上，让访客们分不清孰真孰假。

第二、浏览器会弹出警告，易遭受攻击

前面有提到自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL证书，当用户访问时浏览器还是会持续弹出警告，让用户体验度大大降低。因它不是由CA进行验证签发的，所以CA是无法识别签名者并且不会信任它，因此私钥也形同虚设，网站的安全性会大大降低，从而给攻击者可乘之机。

第三、安装容易，吊销难

自签名SSL证书是没有可访问的吊销列表的，所以它不具备让浏览器实时查验证书的状态，一旦证书丢失或者被盗而无法吊销，就很有可能被用于非法用途从而让用户蒙受损失。同时，浏览器还会发出“吊销列表不可用，是否继续？”的警告，不仅降低了网页的浏览速度，还大大降低了访问者对网站的信任度。

第四、超长有效期，时间越长越容易被破解

自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。

利弊权衡，安信SSL小编还是建议大家最好不要在网站上安装自签名SSL证书，天上掉下来的基本都是陷阱，找个正规靠谱的证书服务商才是真理。不妨上安信SSL了解一下，品牌和型号都比较齐全，可根据具体需求，推荐最适合您网站的SSL证书。

G. 如何自签证书

自签证书是什么?

H. firefox将自签发的证书添加到例外后，无法打开的问题

每次都可以使用 -p命令新建一个配置文档来进行测试避免干扰。

I. 为什么我下了自由签证和证书，把证书导入自签后给软件签名还是不能安装

先确定这个软件是否支持你机器系统版本，然后看软件原先是否是sisx属性的，如果是的话先去除签名使其变为sis属性，再用签名工具签一下自己的证书即可。

J. 如何添加自签名SSL证书 自签名SSL证书存风险

所谓自签SSL证书，是指不受信任的任意机构或个人，使用工具自己签发的SSL证书。自签名SSL证书可以随意签发，没有第三方监督审核，不受浏览器和操作系统信任，常被用于伪造证书进行中间人攻击，劫持SSL加密流量。很多网站为了节约成本，采用自签名SSL证书，其实是给自己的网站埋下了一颗定时炸弹，随时可能被黑客利用。

网站使用自签SSL证书存在极大的风险，主要来自以下几个方面：

自签SSL证书最容易被假冒和伪造，被欺诈网站利用

自签SSL证书是可以随意签发的，不受任何监管，您可以自己签发，别人也可以自己签发。如果您的网站使用自签SSL证书，那黑客也可以伪造一张一模一样的自签证书，用在钓鱼网站上，伪造出有一样证书的假冒网银网站！

而权威CA机构受国际标准组织审计监督，不可随意签发证书，必须严格认证申请者身份才能签发全球唯一的证书，不会出现被伪造的问题。正规SSL证书支持所有浏览器，由浏览器内置的可靠验证机制，自动识别SSL证书的真实信息和证书状态，如果出现证书绑定域名与实际域名不符、证书已吊销或已过期等异常情况，浏览器会自动发出警告提醒用户“此网站安全证书存在问题”，假冒网站无处遁形！

部署自签SSL证书的网站，浏览器会持续弹出警告

自签SSL证书是不受浏览器信任的，用户访问部署了自签SSL证书的网站时，浏览器会持续弹出安全警告，极大影响用户体验。

光网Gworg是全球信任的CA机构，连续多年通过Webtrust国际审计，严格按照国际标准验证审核，可签发的正规SSL证书，支持所有浏览器。必须通过审核才能签发，不能随意获取。光网CA全球独家提供2年期多域名SSL证书，让所有网站都能启用全球信任的SSL证书加密，保护用户数据传输安全，无需再使用自签证书。也可以淘宝搜索：Gworg获取证书。