问Keytool -如何生成非自签名证书？

EN

keytool -genkey是一种双重操作:它生成一个密钥对，并将其封装在一个自签名证书中。拥有这个自签名证书实际上只是一种便利，部分地与存储格式相关联，如果您想将该密钥对用于CA颁发的证书，这只是暂时的。

您需要使用在使用-genkey时输入的信息从该密钥对中提取证书请求(此信息最终包含在自签名证书中)。重用您在-genkey中使用的别名

keytool -certreq -alias somename -file somename.csr -keystore mykeystore.jks

将CSR发送到您的CA，并在拿回证书后，针对相同的别名重新导入该证书。这将覆盖最初使用keytool -importcert生成的自签名证书。注意，如果有中间证书，您可能需要一次导入整个链，如this answer末尾所述。

自签名证书在许多上下文中都很有价值，例如应用程序实例之间的通信。在这种情况下，向CA支付签署证书的费用可能非常昂贵。

但是，如果您想要识别的CA的签名，则需要从CA获得证书。您不能简单地使用keytool创建由公认的CA签名的证书。在您选择的搜索引擎中搜索"SSL证书“。大多数证书都是付费的，比如GeoTrust。其他的，如StartSSL或即将推出的LetsEncrypt，要么是免费的，要么有一个免费的选项。