Generování žádosti o certifikát pomocí Java KeyTool

Postup generování žádosti je uveden níže, po odeslání budete dotázání na heslo úložiště certifikátu.

$ cd $CATALINA_HOME/conf \\ 
$ keytool -genkey -keyalg RSA -keysize 2048 \
    -keystore store.key -validity 1100 \
    -dname "CN=**server.example.org**, O=**organizace**, C=CZ" \
    -keypass heslo_certifikatu -alias tomcat

?? server.example.org

:: plné doménové jméno serveru, další jména můžete specifikovat během předávání žádosti CA !!

?? organizace

:: Jméno organizace přesně tak, jak je uvedeno na jmenování organizace !! :: Registrovaná jména připojených organiozací naleznete zde. !!

Žádost o podpis (CSR) z privátního klíče vygenerujte takto:

keytool -certreq -keyalg RSA -file new.csr -keystore new.key -alias tomcat

Ve výsledném CSR je třeba vymazat NEW v první a poslední řádce. Jinak nebude možné žádost použít v dalším kroku. CSR musí vypadat takto:

-----BEGIN CERTIFICATE REQUEST-----
MIICrDCCAZQCAQAwOTELMAkGA1UEBhMCQ1oxDzANBgNVBAoTBkNFU05FVDEZMBcG
...
1Kr62Z/2V4y5nmzD7HaACA==
-----END CERTIFICATE REQUEST-----

Pro žádosti s klíčem o doporučené délce 2048 bitů aplikace umožňuje vydání certifikátu až na 3 roky. Pro žádosti s kratším klíčem je umožněno vydat certifikáty s dobou platnosti jen jeden rok.