Comment créer une chaîne de certificats à l'aide de keytool?

Il y a un exemple dans la documentation keytool qui montre comment faire ceci:

keytool -genkeypair -keystore root.jks -alias root -ext bc:c
keytool -genkeypair -keystore ca.jks -alias ca -ext bc:c
keytool -genkeypair -keystore server.jks -alias server

keytool -keystore root.jks -alias root -exportcert -rfc > root.pem
keytool -storepass <storepass> -keystore ca.jks -certreq -alias ca | keytool -storepass <storepass> -keystore root.jks -gencert -alias root -ext BC=0 -rfc > ca.pem

cat root.pem ca.pem > cachain.pem
keytool -keystore ca.jks -importcert -alias ca -file cachain.pem

keytool -storepass <storepass> -keystore server.jks -certreq -alias server | keytool -storepass <storepass> -keystore ca.jks -gencert -alias ca -ext ku:c=Dig,keyEncipherment -rfc > server.pem
cat root.pem ca.pem server.pem > serverchain.pem
keytool -keystore server.jks -importcert -alias server -file serverchain.pem

Vous pouvez également générer des chaînes de certificats assez facilement avec KeyStore Explorer :

1. Créez une nouvelle paire de clés, ce qui implique la création d'un certificat auto-signé (l'autorité de certification racine).
2. Cliquez avec le bouton droit sur le certificat d'autorité de certification racine et sélectionnez "Signer une nouvelle paire de clés", cela crée le certificat de l'autorité de certification secondaire et la paire de clés.
3. Cliquez avec le bouton droit sur le certificat CA secondaire et sélectionnez à nouveau "Sign New Key Pair".

La chaîne résultante: