根據(jù)行業(yè)CA規(guī)定，數(shù)字證書的有效期最長為1年，無論購買多長時間，SSL證書都必須每年更新，這是不可避免的事實。SSL證書需要盡快申請SSL證書，并更新服務器過期的SSL證書。

公鑰加密基礎設施（PKI）中、證書頒發(fā)機構（CA）必須信任證書簽名人，以保護私鑰，并通過互聯(lián)網(wǎng)在線傳輸信息。然而，在簽署SSL證書的情況下，CA無法識別簽名人或信任它，因此私鑰將不再安全和損壞，這鼓勵網(wǎng)絡罪犯攻擊網(wǎng)站并竊取信息。

⌈自簽名SSL證書的缺點⌋：

·應用/操作系統(tǒng)不信任自簽證證書，可能導致身份驗證錯誤等。

·低哈希和密碼技術可用于自簽證。因此，自簽證的安全水平可能不符合當前的安全策略。

·不支持高級PKI(公鑰基礎設施)功能，如網(wǎng)上檢查撤銷列表等。

·自簽證的有效期一般為一年，這些證書每年都需要更新/更換，這是一個難以維護的問題。

⌈在公共場所使用自簽名SSL證書的風險⌋：

與自簽名SSL證書相關的安全警告將驅逐潛在客戶，因為他們擔心該網(wǎng)站無法保護其憑證，從而損害品牌聲譽和客戶信任。

⌈在內部網(wǎng)站上使用自簽名SSL證書的風險⌋：

在公共網(wǎng)站上使用自簽名證書的風險很明顯，在內部使用也有風險。內部網(wǎng)站（如員工門戶）上的自簽名證書仍然會導致瀏覽器警告。許多組織建議員工忽略警告，因為他們知道內部網(wǎng)站是安全的，但這可能會鼓勵危險的公共瀏覽行為。習慣于忽視內部網(wǎng)站警告的員工可能會忽略公共網(wǎng)站上的警告，使他們和你的組織容易受到惡意軟件和其他威脅的攻擊。

如果自簽名SSL證書安裝在電子商務網(wǎng)站上，用戶會感受到數(shù)據(jù)和信息被盜的風險，退出購物，這也會影響在線業(yè)務和所有者的聲譽。收集用戶敏感信息和個人信息的網(wǎng)站不得安裝自簽名SSL證書。銀行、電子商務、社交媒體、醫(yī)療保健和政府部門就是其中之一。公鑰加密基礎設施（PKI）中、證書頒發(fā)機構（CA）必須信任證書簽名人，以保護私鑰，并通過互聯(lián)網(wǎng)在線傳輸信息。然而，在簽署SSL證書的情況下，CA無法識別簽名人或信任它，因此私鑰將不再安全和損壞，這鼓勵網(wǎng)絡罪犯攻擊網(wǎng)站并竊取信息。

⌈自簽名SSL證書的缺點⌋：

·應用/操作系統(tǒng)不信任自簽證證書，可能導致身份驗證錯誤等。

·低哈希和密碼技術可用于自簽證。因此，自簽證的安全水平可能不符合當前的安全策略。

·不支持高級PKI(公鑰基礎設施)功能，如網(wǎng)上檢查撤銷列表等。

·自簽證的有效期一般為一年，這些證書每年都需要更新/更換，這是一個難以維護的問題。

⌈在公共場所使用自簽名SSL證書的風險⌋：

與自簽名SSL證書相關的安全警告將驅逐潛在客戶，因為他們擔心該網(wǎng)站無法保護其憑證，從而損害品牌聲譽和客戶信任。

⌈在內部網(wǎng)站上使用自簽名SSL證書的風險⌋：

在公共網(wǎng)站上使用自簽名證書的風險很明顯，在內部使用也有風險。內部網(wǎng)站（如員工門戶）上的自簽名證書仍然會導致瀏覽器警告。許多組織建議員工忽略警告，因為他們知道內部網(wǎng)站是安全的，但這可能會鼓勵危險的公共瀏覽行為。習慣于忽視內部網(wǎng)站警告的員工可能會忽略公共網(wǎng)站上的警告，使他們和你的組織容易受到惡意軟件和其他威脅的攻擊。

如果自簽名SSL證書安裝在電子商務網(wǎng)站上，用戶會感受到數(shù)據(jù)和信息被盜的風險，退出購物，這也會影響在線業(yè)務和所有者的聲譽。收集用戶敏感信息和個人信息的網(wǎng)站不得安裝自簽名SSL證書。銀行、電子商務、社交媒體、醫(yī)療保健和政府部門就是其中之一。

1：先下載安裝Java

2：安裝完畢后，根據(jù)實際路徑找到keytool.exe，如我在這里的路徑：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe

3：生成keystore。打開命令行。（cmd)，去keytool所在的路徑，運行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中間只需輸入密碼即可生成keystore，假設密碼為：123456

其中：

1)keystore可以理解為一個數(shù)據(jù)庫，可以存儲多組數(shù)據(jù)。每組數(shù)據(jù)主要包括以下兩種數(shù)據(jù)：

a:密鑰實體（Keyentity）——密鑰（secretkey）或私鑰和配對公鑰(不對稱加密)

b:可信的證書實體（trustedcertificateentries）——只包含公鑰

2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手動創(chuàng)建此文件夾)，生成keystore:keystore.p12

3）-aliastomcat，指示keystore中唯一的別名：tomcat，因為keystore中可能還有其他的別名，比如：tomcat2

4)-storePKCS12指示密鑰倉庫類型為PKCS12

5）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法

6)-keysize2048指定密鑰的長度為2048

7)-validity3650指定證書有效期為3650天

8）-extsan=ip:請根據(jù)您的服務器IP地址設置192.168.100.132，如果不設置，客戶端在訪問時可能會報錯

9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”

其中：”CN=(姓名與姓氏)，OU=(組織單位名稱)，O=(組織名稱)，L=(城市或區(qū)域名稱)，ST=(州或省名)，C=(單位兩字母國家代碼)”，我在測試過程中發(fā)現(xiàn)隨便填就行了

4：導出公鑰證書(主要用于客戶端)：

運行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466

其中：

1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件

2)-aliastomcat是指定別名為tomcat的組

3）-filemycer.當前目錄生成的cer指定為mycer.cer證書

4)-storepass123456是生成keystore所用的密碼