在本教程中,我们将向您演示如何在 Tomcat 上生成 CSR。 您首先要使用 Java 的密钥工具创建私钥和密钥存储,然后生成 CSR(证书签名请求)发送给证书颁发机构 (CA)。本指南将指导您完成每个步骤。
所需物品
- 安装了 Java(JDK 或 JRE),以便使用keytool
- 访问服务器上的终端或 shell,私钥将保存在该终端或 shell 中
第 1 步:创建密钥存储和私钥
在终端中运行该命令(根据需要替换主机名/路径):
keytool -genkeypair \
-alias tomcat \
-keyalg RSA -keysize 2048 \
-keystore yourdomain.p12 -storetype PKCS1
系统会提示你创建密钥存储密码和密钥密码(可以相同)。
步骤 2:输入您的组织详细信息(DN)
Keytool 将提示输入 CSR 使用的区分名称 (DN):
- C(国家):双字母代码(如 US)
- ST(州/省):全称(如加利福尼亚州)
- L(地点/城市):例如圣何塞
- O(组织):法定公司名称(如贵公司 LLC)
- OU(组织单位):废弃字段,留空
- CN(通用名称):您要保护的准确主机名(FQDN),或通配符,如 *.yourdomain.com
注意:keytool 将 CN 标为 “您的名和姓?– 请输入FQDN,而不是人名。
步骤 4:创建 CSR 代码
现代客户端会验证SAN(主题备选名称),而不是仅验证 CN。在 CSR 中直接请求 SAN:
keytool -certreq \
-alias tomcat \
-keystore example.p12 \
-file yourdomain.csr \
-ext SAN=DNS:yourdomain.com,DNS:www.yourdomain.com
第 5 步:提交 CSR
您的 CSR 代码已准备就绪。 它位于yourdomain.csr文件中。 您可以使用任意文本编辑器打开它,然后在购买订单中复制粘贴全部内容。 为确保不错过任何一行,请使用ctrl + a热键选择整个文本。
证书颁发机构验证你的请求并向你发送 SSL 文件后,你就可以继续在Tomcat 上安装 SSL 了。


