Это зависит от ваших потребностей.
Если вам просто нужно создать самозаверяющий сертификат для целей тестирования без расширений (как в X.509 v1 сертификатах), тогда IMO намного быстрее и удобнее использовать Keytool ( Примечание : я понятия не имею, были ли дополнения / изменения введены в Keytool в Java 7).
Кроме того, если вам нужно просто управлять своими сертификатами или использовать JKS хранилища ключей, Keytool по-прежнему остается в силе.
Кроме этого, вам необходимо использовать надежное средство защиты, которое, безусловно, будет OpenSSL.
Обратите внимание, что если вам просто нужно сгенерировать -fast- сертификаты / хранилища ключей для своего тестирования, вы можете использовать инструмент на основе Java, например Certificate Helper , который также создает расширения.
Но для производства / взаимодействия и всех причин, упомянутых друзьями в комментариях, вы бы использовали OpenSSL.