Keytool 是一個有效的安全鑰匙和證書的管理工具.
Java 中的 keytool.exe (位于 JDK\Bin 目錄下)可以用來建立數字證書,所有的數字證書是以一條一條(采用别名差別)的形式存入證書庫的中,證書庫中的一條證書包含該條證書的私鑰,公鑰和對應的數字證書的資訊。證書庫中的一條證書可以導出數字證書檔案,數字證書檔案隻包括主體資訊和對應的公鑰。
Keytool 把鑰匙和證書儲存到一個keystore.默任的實作keystore的是一個檔案.它用一個密碼保護鑰匙.
(2)
關于證書的幾個概念:
一個證書是一個實體的數字簽名,還包含這個實體的公共鑰匙值.
公共鑰匙 :是一個詳細的實體的數字關聯,并有意讓所有想同這個實體發生信任關系的其他實體知道.公共鑰匙用來檢驗簽名;
數字簽名:是實體資訊用實體的私有鑰匙簽名(加密)後的資料.這條資料可以用這個實體的公共鑰匙來檢驗簽名(解密)出實體資訊以鑒别實體的身份;
簽名:用實體私有鑰匙加密某些消息,進而得到加密資料;
私有鑰匙:是一些數字,私有和公共鑰匙存在所有用公共鑰匙加密的系統的鑰匙對中.公共鑰匙用來加密資料,私有鑰匙用來計算簽名.公鑰加密的消息隻能用私鑰解密,私鑰簽名的消息隻能用公鑰檢驗簽名。
實體:一個實體可以是一個人,一個組織,一個程式,一台計算機,一個商業,一個銀行,或其他你想信任的東西.
實際上,我們用[1]中的指令已經生成了一個自簽名的證書,沒有指定的參數都使用的是預設值。
我們也可以用如下指令生成一個自簽名的證書:
keytool -genkey -dname "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN" -alias myCA -keyalg RSA -keysize 1024 -keystore myCALib -keypass 654321 -storepass 123456 -validity 3650
這條指令将生成一個别名為myCA的自簽名證書,證書的keypair的密碼為654321,證書中實體資訊為 "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN",存儲在名為myCALib的keystore中(如果沒有将自動生成一個),這個keystore的密碼為123456,密鑰對産生的算法指定為RSA,有效期為10年。
[2]
詳細分析如下:
Keystore的别名:
所有的keystore入口(鑰匙和信任證書入口)是通過唯一的别名通路.别名是不區分大小寫的.如别名Hugo和
hugo指向同一個keystore入口.
可以在加一個入口到keystore的時候使用-genkey參數來産生一個鑰匙對(公共鑰匙和私有鑰匙)時指定别
名.也可以用-import參數加一個證書或證書鍊到信任證書.
如:
1.
keytool -genkey -alias duke -keypass dukekeypasswd
其中duke為别名,dukekeypasswd為duke别名的密碼.這行指令的作用是産生一個新的公共/私有鑰匙對.
假如你想修改密碼,可以用:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
将舊密碼dukekeypasswd改為newpass.
可以用-keystore指定其名時,将産生指定的keystore.
2.
檢查一個keystore:
keytool -list -v -keystore keystore
Enter keystore password:your password(輸入密碼)
3.輸出keystore到一個檔案:testkey:
keytool -export -alias duke -keystore keystore -rfc -file testkey
系統輸出:
Enter keystore password:your password(輸入密碼)
Certificate stored in file
例如:keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
将把證書庫 monitor.keystore 中的别名為 monitor 的證書導出到 monitor.cer 證書檔案中,它包含證書主體的資訊及證書的公鑰,不包括私鑰,可以公開。
4.輸入證書到一個新的truststore:
keytool -import -alias dukecert -file testkey -keystore truststore
Enter keystore password:your new password.(輸入truststore新密碼)
将keystore導入證書中這裡向Java預設的證書 cacerts導入Rapa.cert
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts
5.證書條目的删除
keytool的指令行參數 -delete 可以删除密鑰庫中的條目,如: keytool -delete -alias RapaServer -keystore d2aApplet.keystore ,這條指令将 d2aApplet.keystore 中的 RapaServer 這一條證書删除了。
7,将證書導出到證書檔案
keytool -export -alias myCA -file myCA.cer -keystore myCALib -storepass 123456 -rfc
使用該指令從名為myCALib的keystore中,把别名為myCA的證書導出到證書檔案myCA.cer中。(其中-storepass指定keystore的密碼,-rfc指定以可檢視編碼的方式輸出,可省略)。
8,通過證書檔案檢視證書資訊
keytool -printcert -file myCA.cer
9,密鑰庫中證書條目密碼的修改
Keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib
10,删除密鑰庫中的證書條目
keytool -delete -alias myCA -keystore myCALib
11,把一個證書檔案導入到指定的密鑰庫
keytool -import -alias myCA -file myCA.cer -keystore truststore
(如果沒有名為truststore的keystore,将自動建立,将會提示輸入keystore的密碼)
12,更改密鑰庫的密碼
keytool -storepasswd -new 123456 -storepass 789012 -keystore truststore
其中-storepass指定原密碼,-new指定新密碼。
[3]
自己的執行個體
(1)用法總結:
1.
keystore好像一個資料庫.每種操作,都要先指定keystore名與密碼,以及操作的對象别名如:
..... -alias AAA -keystore jServer.keystore -storepass 123456
2.
操作的一般格式:
keytool + 操作類型[-genkey,-list -v,-printcert -file,-import -flie,-export -file,-delete,-
keypasswd -new,-storepasswd -new] + 再加上上面的格式.
(2)執行個體
C:\keytool>keytool -genkey -alias jason -keystore jServer.keystore -keyalg RSA
輸入keystore密碼: 1234
Keystore 密碼太短 -至少必須為6個字元
輸入keystore密碼: 123456
您的名字與姓氏是什麼?
[Unknown]: huang
您的組織機關名稱是什麼?
[Unknown]: access
您的組織名稱是什麼?
[Unknown]: access
您所在的城市或區域名稱是什麼?
[Unknown]: sz
您所在的州或省份名稱是什麼?
[Unknown]: gd
該機關的兩字母國家代碼是什麼
[Unknown]: china
CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 正确嗎?
[否]: y
輸入<jason>的主密碼
(如果和 keystore 密碼相同,按回車): 74123
主密碼太短 -至少必須為 6 個字元
輸入<jason>的主密碼
(如果和 keystore 密碼相同,按回車): 456789
C:\keytool>keytool -list -v -keystore jServer.keystore
輸入keystore密碼: 123456
Keystore 類型: jks
Keystore 提供者: SUN
您的 keystore 包含 1 輸入
别名名稱: jason
建立日期: 2009-6-24
輸入類型:KeyEntry
認證鍊長度: 1
認證 [1]:
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
認證指紋:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
*******************************************
*******************************************
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -rfc -file jasonfile
輸入keystore密碼: 123456
儲存在檔案中的認證 <jasonfile>
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f
ile jasonfile2
儲存在檔案中的認證 <jasonfile2>
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f
ile jasonfile.cer
儲存在檔案中的認證 <jasonfile.cer>
C:\keytool>keytool -printcert -file jasonfile.cer
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
認證指紋:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer -
storepass 123456
keytool錯誤: java.lang.Exception: Keystore 檔案不存在: jServer
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer.k
eystore -storepass 123456
C:\keytool>keytool -list -v -alias jason -storepass 123456
keytool錯誤: java.lang.Exception: Keystore 檔案不存在: C:\Documents and Settings\Administr
ator\.keystore
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
别名名稱: jason
建立日期: 2009-6-24
輸入類型:KeyEntry
認證鍊長度: 1
認證 [1]:
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
認證指紋:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -delete -alias jason -keystore jServer.keystore -storepass 123456
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
keytool錯誤: java.lang.Exception: 别名 <jason> 不存在
C:\keytool>keytool -import -alias hwj -file jasonfile.cer -keystore jServer.keystore -storep
ass 123456
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
認證指紋:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
信任這個認證? [否]: y
認證已添加至keystore中
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
keytool錯誤: java.lang.Exception: 别名 <jason> 不存在
C:\keytool>keytool -list -v -alias hwj -keystore jServer.keystore -storepass 123456
别名名稱: hwj
建立日期: 2009-6-24
輸入類型: trustedCertEntry
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
認證指紋:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -storepasswd -new 20070423 -keystore jServer.keystore -storepass 123456
轉載于:https://www.cnblogs.com/luoyanli/p/3230268.html