Java中使用默认的密钥库和算法创建数字证书

转载的第一篇文档：

★ 实例说明 
本实例使用J2SDK提供的keytool工具用默认的密钥库和算法创建几个数字证书。

 

★运行程序
keytool程序运行时加上命令行参数–genkey即可。
在命令行中输入“keytool   –genkey”将自动使用默认的算法生成公钥和私钥，并以交互方式获得公钥持有者的信息。其交互过程如下，其中带下划线的字符为用户键盘输入的内容，其他为系统提示的内容

C:\>keytool -genkey
输入keystore密码：  123456
您的名字与姓氏是什么？
[Unknown]： Liao Weimin1
您的组织单位名称是什么？
[Unknown]： Network Center
您的组织名称是什么？
[Unknown]：   Guangzhou University
您所在的城市或区域名称是什么？
[Unknown]：   ZB
您所在的州或省份名称是什么？
[Unknown]： Guangzhou
该单位的两字母国家代码是什么
[Unknown]：   CN
CN=Liao Weimin1, OU=Network Center, O=Guangzhou University, L=ZB, ST=Guangzhou, C=CN 正确吗？
[否]：   是
输入的主密码
（如果和 keystore 密码相同，按回车）：   abcdefg
C:\>

以上操作将生成一个公钥和一个私钥，这里并未指定使用何算法，将使用默认的DSA算法。

同时上述操作将创建一个数字证书，证书中包含了新生成的公钥和一个名字为“CN=Liao Weimin1, OU=Network Center, O=Guangzhou University, L=ZB, ST=Guangzhou, C=CN”的主体（人或机构）的对应关系。其中“CN=Liao Weimin1, OU=Network Center, O=Guangzhou University, L=ZB, ST=Guangzhou, C=CN”是X.500格式的全名，包含了主体的国家、州、城市、机构、单位和名字。这样，这个证书将证明相应的公钥是这个人或机构所拥有的。

以上生成的公钥、私钥和证书都保存在用户的主目录中创建一个默认的文件“.keystore”中。如果是Windows 2000系统，用户主目录是c:\ Documents and Setting\用户名。

由于“.keystore”中包含了私钥，所以是一个需要保密的文件，因此上述操作提示为该文件设置一个密码：“输入keystore密码”，这里因为是第一次使用该密钥库，因此输入的密码“123456”将成为该默认的密钥库的密码（实际使用时应该设置复杂的口令）。以后再使用这个密钥库时必须提供这个口令才可以使用。

以上操作最后还提示“输入的主密码”，这里“mykey”是默认的别名，使用该名字可以在密钥库“.keystore”中找到对应的公钥、私钥和证书。此处输入的密码是对应于该别名的私钥的密码，密钥库中每个别名可以使用不同的密码加以保护。

1.1.2 使用别名
     密钥库中可以存放多个条目（公钥/私钥对和证书），它们在密钥库中以别名(alias)区分。1.1.1小节在使用keytool工具时没有指定别名，因此系统使用了默认的别名mykey。如果再次运行“keytool –genkey”，则系统将提示“keytool错误： java.lang.Exception: 没有创建键值对，别名 已经存在”，因此当密钥库中有多个公钥/私钥对和证书时，应该使用别名。

★ 实例说明
本实例使用J2SDK提供的keytool工具用在默认的密钥库中利用别名增加多个证书。

★运行程序
keytool程序运行时加上命令行参数–alias即可。

在命令行中输入“keytool   –genkey   –alias   liaoweimin2”将自动使用默认的算法生成别名为liaoweimin2的公钥和私钥，并以交互方式获得公钥持有者的信息。其交互过程如下：

C:\>keytool genkey alias liaoweimin2
输入keystore密码：  123456
您的名字与姓氏是什么？
[Unknown]：   Liao Weimin2
您的组织单位名称是什么？
[Unknown]：   Network Center
您的组织名称是什么？
[Unknown]：   SHU
您所在的城市或区域名称是什么？
[Unknown]：   ZB
您所在的州或省份名称是什么？
[Unknown]：   SH
该单位的两字母国家代码是什么
[Unknown]：   CN
CN=Liao Weimin2, OU=Network Center, O=SHU, L=ZB, ST=SH, C=CN 正确吗？
[否]：   是
输入的主密码
（如果和 keystore 密码相同，按回车）：

 

        其中“输入keystore密码：”后面输入的内容必须和1.1.1小节相同的密码，否则将无法访问密钥库，并提示如下错误：“keytool错误： java.io.IOException: Keystore was tampered with, or password was incorrect”，这是因为1.1.1小节已经为默认的密钥库设置了该密码，以后使用该密钥库都必须提供该密码。

        在“输入 的主密码”的提示后这里不妨直接按“回车键”，这样该私钥将使用和密钥库相同的密码“123456”来保护。

        以上操作将在用户主目录的“.keystore”文件中增加一对公钥和私钥（DSA算法），同时增加一个数字证书，证书中包含了新生成的公钥和一个名字为“CN=Liao Weimin2, OU=Network Center, O=Guangzhou University, L=ZB, ST=Guangzhou, C=CN”的主体（人或机构）的对应关系。

1.1.3 使用指定的算法和密钥库和有效期

1.1.1和1.1.2小节中使用的是默认的算法和密钥库，本节介绍如何自己指定算法和密钥库。
★ 实例说明
本实例使用J2SDK提供的keytool工具用RSA算法和在指定的密钥库mykeystore中创建公钥/私钥对和证书。

★运行程序
keytool的keyalg参数可以指定密钥的算法，如果需要指定密钥的长度，可以再加上keysize参数。密钥长度默认为1024位，使用DSA算法时，密钥长度必须在512到1024之间，并且是64的整数倍。

Keytool的-keystore参数可以指定密钥库的名称。密钥库其实是存放密钥和证书的文件，密钥库对应的文件如果不存在自动创建。

-validity参数可以指定所创建的证书有效期是多少天。

如在命令行中输入“keytool genkey alias mytest keyalg RSA keysize 1024 keystore mykeystore validity 4000”将使用RSA算法生成1024位的公钥/私钥对及整数，密钥长度为1024位，证书有效期为4000天。使用的密钥库为mykeystore文件。

C:\java\ch5>keytool genkey alias mytest keyalg RSA keysize 1024 keystore mykeystore validity 4000

输入keystore密码：   wshr.ut

您的名字与姓氏是什么？

     [Unknown]：   Liao Weimin

您的组织单位名称是什么？

     [Unknown]：   Network Center

您的组织名称是什么？

     [Unknown]：   Guangzhou University

您所在的城市或区域名称是什么？

     [Unknown]：   ZB

您所在的州或省份名称是什么？

     [Unknown]：   Guangzhou

该单位的两字母国家代码是什么

     [Unknown]：   CN

CN=Liao Weimin, OU=Network Center, O=Guangzhou University, L=ZB, ST=Guangzhou, C=CN 正确吗？

     [否]：   是

输入的主密码
（如果和 keystore 密码相同，按回车）：

C:\java\ch5>

由于当前目录下没有mykeystore文件，因此以上操作将在当前目录建立文件名为mykeystore的文件，并提示输入一个密码加以保护：“输入keystore密码：”。因为这里使用的密钥库和1.1.1小节及1.1.2小节不是同一个文件，因此这里输入的密码和1.1.1小节及1.1.2小节没有必要一致，这里不妨设置为“wshr.ut”。这样，以后再使用这个密钥库文件时必须提供该密码。
        对其中的“输入的主密码”，这里不妨直接按回车键，这样mykeysotre文件中的mytest条目将使用和密钥库相同的密码：“wshr.ut”。
1.2.1 使用Keytool将数字证书导出到文件

★ 实例说明
本实例使用J2SDK提供的keytool工具将指定的证书从密钥库导出为编码过和没编码过两种格式的文件。
★运行程序
使用keytool的export参数可以将别名指定的证书导出到文件，文件名通过file参数指定。如输入如下命令：

C:\java\ch5>keytool export alias liaoweimin2 -file liaoweimin2.cer

输入keystore密码：  123456

保存在文件中的认证

则将默认密钥库中的liaoweimin2条目对应的证书导出到文件liaoweimin2.cer中。由于命令行中没有用storepass给出密码，因此屏幕提示输入keystore密码。由于证书中不包含私钥，因此不需要条目的主密码。

该操作完成后将在当前目录中创建liaoweimin2.cer文件，该文件即是默认密钥库中的liaoweimin2条目对应的证书，它包含了公钥和主体的对应关系，内容也可以公开。
输入如下命令则可以指定密钥库：

C:\java\ch5>keytool -export -alias lf -file lf.cer -keystore lfkeystore –storepass wshr.ut

保存在文件中的认证 
该操作完成后将在当前目录中创建lf.cer文件。

        如果用文本编辑器打开liaoweimin2.cer或lf.cer，将会发现它是二进制文件，有些内容无法显示，这不利于公布证书。在导出证书时加上-rfc参数则可以使用一种可打印的编码格式来保存证书。如：

C:\java\ch5>keytool -export -alias mytest -file mytest.cer   -keystore mykeystore  -storepass wshr.ut -rfc

保存在文件中的认证 
则当前目录下将增加一个文件mytest.cer，其内容是编码过的，可以在屏幕上显示、拷贝或打印。如图5-2所示。（打印内容不同）

1.2.2 使用Keytool从文件中显示证书

★ 实例说明
本实例使用J2SDK提供的keytool工具将1.2.3小节导出的证书文件显示出来。
★运行程序
使用keytool的printcert参数可以将1.2.3小节导出到证书文件详细内容显示出来，文件名称通过file参数指定。如：

C:\java\ch5>keytool printcert file   lf.cer

（见自己的屏幕）
对编码过的证书可以同样显示，如：

C:\java\ch5>keytool printcert file   mytest.cer

（见自己的屏幕）

1.2.3 在Windows中从文件显示证书
★ 实例说明
本实例在Windows中直接显示1.2.1小节导出的证书文件。
★运行程序
1.2.3小节导出的证书文件中，只要文件名以.cer为后缀，Windows操作系统就可以直接识别。如在Windows中双击lf.cer图标，将出现窗口。其中包含了证书的所有者、颁发者、有效期等信息，这些信息和使用keytool显示出的信息一致。
由于该证书是用自己的私钥对该证书进行数字签名的，即自己给自己签发的证书，因此窗口中显示警告信息：“该证书发行机构根证书没受信任”。

 

转载的第二篇文档：

keytool生成证书 查看证书信息 ，以及java操作的简单用例

首先用keytool生成证书
1 产生密钥
D:/>keytool -genkey -alias wenger -keysize 1024 -keypass abcdef -keystore myKeys
tore -storepass abcdef -dname "CN=chen sr, OU=tanglab, O=lab, L=gz, ST=gd, C=cn"

2 导出密钥，用证书的形式保存
D:/>keytool -export -alias wenger -file mycert.cer -keystore myKeystore -storepass abcdef
保存在文件中的认证 <mycert.cer>

用java读出证书的信息

import java.io.*;
import java.security.cert.*;

public class TestCert {
  public static void main(String[] args) {
    try {
      FileInputStream fis = new FileInputStream("mycert.cer");
      CertificateFactory cf=CertificateFactory.getInstance("X509");
      X509Certificate c=(X509Certificate) cf.generateCertificate(fis);
      System.out.println("Certficate for" + c.getSubjectDN());
      System.out.println("Generated with "+c.getSigAlgName());
    }
    catch (FileNotFoundException ex) {
    }
    catch (CertificateException ex) {
      /** @todo Handle this exception */
    }

  }
}

输出：
Certficate forCN=chen sr, OU=tanglab, O=lab, L=gz, ST=gd, C=cn

Generated with SHA1withDSA

JDK中keytool常用命令

-genkey      在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名，mykey中包含用户的公钥、私钥和证书
-alias       产生别名
-keystore    指定密钥库的名称(产生的各类信息将不在.keystore文件中
-keyalg      指定密钥的算法   
-validity    指定创建的证书有效期多少天
-keysize     指定密钥长度
-storepass   指定密钥库的密码
-keypass     指定别名条目的密码
-dname       指定证书拥有者信息 例如：  "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn"
-list        显示密钥库中的证书信息      keytool -list -v -keystore sage -storepass ....
-v           显示密钥库中的证书详细信息
-export      将别名指定的证书导出到文件  keytool -export -alias caroot -file caroot.crt
-file        参数指定导出到文件的文件名
-delete      删除密钥库中某条目          keytool -delete -alias sage -keystore sage
-keypasswd   修改密钥库中指定条目口令    keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage
-import      将已签名数字证书导入密钥库  keytool -import -alias sage -keystore sagely -file sagely.crt
             导入已签名数字证书用keytool -list -v 以后可以明显发现多了认证链长度，并且把整个CA链全部打印出来。
 
1.证书的显示
-list
[-v | -rfc] [-alias <alias>]
[-keystore <keystore>] [-storepass <storepass>]
[-storetype <storetype>] [-provider <provider_class_name>]
例如：keytool -list -v -alias RapaServer -keystore cacerts -storepass 12345678
keytool -list -v -keystore d2aapplet.keystore -storepass 12345678 -storetype IAIKKeystore
2.将证书导出到证书文件
例如：keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
将把证书库 monitor.keystore 中的别名为 monitor 的证书导出到 monitor.cer 证书文件中，它包含证书主体的信息及证书的公钥，不包括私钥，可以公开。
keytool -export -keystore d2aApplet.keystore -alias RapaServer -file Rapa.cert -storetype IAIKKeystore
3.将keystore导入证书中
这里向Java默认的证书 cacerts导入Rapa.cert
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts
4.证书条目的删除
keytool的命令行参数 -delete 可以删除密钥库中的条目，如： keytool -delete -alias RapaServer -keystore d2aApplet.keystore ，这条命令将 d2aApplet.keystore 中的 RapaServer 这一条证书删除了。
5.证书条目口令的修改
使用 -keypasswd 参数，如：keytool -keypasswd -alias RapaServer -keystore d2aApplet.keystore，可以以交互的方式修改 d2aApplet.keystore证书库中的条目为 RapaServer 的证书。
Keytool -keypasswd -alias RapaServer -keypass 654321 -new 123456 -storepass 888888 -keystore d2aApplet.keystore这一行命令以非交互式的方式修改库中别名为 RapaServer 的证书的密码为新密码 654321，行中的 123456 是指该条证书的原密码， 888888 是指证书库的密码。