生成客户端私有密钥和客户端证书文件

如果您决定使用 JWT 断言类型保护 JDBC 连接,请生成用于连接验证的私有密钥和证书。

:如果您要使用“资源所有者”断言类型保护 JDBC 连接,则不需要私有密钥和证书文件。
请参见https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html
  1. 生成密钥对和密钥库。
    从命令提示,发出采用如下命令格式的 keytool 命令:
    keytool -genkeypair -v -keystore <keystore name> -storetype <store type i.e PKCS12> -storepass <store pass> -keyalg <key algorithm> -keysize <key size> -sigalg <sig algorithm> -validity <validity days> -alias <alias name> -keypass <key pass>
    例如:
    keytool -genkeypair -v -keystore bijdbckeystore.jks -storetype PKCS12 -storepass password -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity 3600 -alias bijdbcclientalias -keypass password
  2. 生成公共证书。
    从命令提示,发出采用如下命令格式的 keytool 命令:
    keytool -exportcert -v -alias <alias name> -keystore <keystore name> -storetype <store type, such as PKCS12> -storepass <store pass> -file <certificate file> -rfc
    例如:
    keytool -exportcert -v -alias bijdbcclientalias -keystore bijdbckeystore.jks -storetype PKCS12 -storepass password -file bijdbcclient.cert -rfc
  3. 使用 OpenSS 从密钥库文件提取 PKCS8 格式的私有密钥。
    使用以下命令格式:
    openssl pkcs12 -in <keystore file name> -passin pass:<keystore password> -nodes -nocerts -nomacver > <PKCS8 key file path>
    例如:
    openssl pkcs12 -in bijdbckeystore.jks -passin pass:password -nodes -nocerts -nomacver |sed -n '/BEGIN PRIVATE KEY/,$p' > bijdbcclient.pem
  4. 将生成的密钥和证书保存在客户端计算机可访问的位置。