制作jks、pkcs12的keystore

来源：http://blog.sina.com.cn/s/blog_7035c6ac01017hrx.html

从CA获得四个文件：

root证书： EntrustSecureServerCA.crt

chain证书： USERTrustLegacyCA.crt  

server证书：server.crt

server key：server.key

第一种方式：运行1，直接2的第一条命令，然后使用 用portecle工具，打开server.p12（可以导入链证书、根证书，转换格式），制作需要格式的keystore。

第二种方式：运行2，直接生成jks的keystore，如需转换到pkcs12等证书格式， 使用 portecle工具。

注：firefox对于jks支持有问题，建议使用pkcs12.

-------------------------------------------------------------------------------------------------

@echo off

rem 制作keystore

rem 1.把信任的证书导入java，这样生成server.p12之后，直接可以用portecle工具操作。

rem keytool -import -alias USERTrustLegacyCA  -keystore "D:\Program Files\Java\jdk1.6.0_31\jre\lib\security\cacerts"  -file USERTrustLegacyCA.crt  -trustcacerts

rem keytool -import -alias EntrustSecureServerCA  -keystore "D:\Program Files\Java\jdk1.6.0_31\jre\lib\security\cacerts"  -file EntrustSecureServerCA.crt  -trustcacerts

rem 2.生成jks的keystore，主要因为pkcs12格式的keystore，不支持TrustedCertEntry，链证书、根证书无法导入。

rem del tomcat_jks.keystore

rem openssl pkcs12 -export -in server.crt  -name cas.dreye.com -inkey server.key -out server.p12

rem keytool -v -importkeystore -srckeystore server.p12 -srcstoretype PKCS12  -deststoretype JKS -destkeystore tomcat_jks.keystore

rem keytool -import -trustcacerts -alias EntrustSecureServerCA -file EntrustSecureServerCA.crt -keystore tomcat_jks.keystore 

rem keytool -import -trustcacerts -alias USERTrustLegacyCA -file USERTrustLegacyCA.crt -keystore tomcat_jks.keystore 

rem 3.生成pkcs12的keystore。链证书、根证书无法导入，可以用portecle工具操作把jks转为pkcs12。

rem keytool -importkeystore -srckeystore tomcat_jks.keystore -srcstoretype JKS -deststoretype PKCS12 -destkeystore tomcat_pkcs12.keystore