- 浏览: 53673 次
- 性别:
- 来自: 北京
文章分类
最新评论
Keytool 是一个有效的安全钥匙和证书的管理工具.
Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。
Keytool 把钥匙和证书储存到一个keystore.默任的实现keystore的是一个文件.它用一个密码保护钥匙.
(2)
关于证书的几个概念:
一个证书是一个实体的数字签名,还包含这个实体的公共钥匙值.
公共钥匙 :是一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;
数字签名:是实体信息用实体的私有钥匙签名(加密)后的数据.这条数据可以用这个实体的公共钥匙来检验签名(解密)出实体信息以鉴别实体的身份;
签名:用实体私有钥匙加密某些消息,从而得到加密数据;
私有钥匙:是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.公共钥匙用来加密数据,私有钥匙用来计算签名.公钥加密的消息只能用私钥解密,私钥签名的消息只能用公钥检验签名。
实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.
实际上,我们用[1]中的命令已经生成了一个自签名的证书,没有指定的参数都使用的是默认值。
我们也可以用如下命令生成一个自签名的证书:
keytool -genkey -dname "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN" -alias myCA -keyalg RSA -keysize 1024 -keystore myCALib -keypass 654321 -storepass 123456 -validity 3650
这条命令将生成一个别名为myCA的自签名证书,证书的keypair的密码为654321,证书中实体信息为 "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN",存储在名为myCALib的keystore中(如果没有将自动生成一个),这个keystore的密码为123456,密钥对产生的算法指定为RSA,有效期为10年。
[2]
详细分析如下:
Keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问.别名是不区分大小写的.如别名Hugo和
hugo指向同一个keystore入口.
可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别
名.也可以用-import参数加一个证书或证书链到信任证书.
如:
1.
keytool -genkey -alias duke -keypass dukekeypasswd
其中duke为别名,dukekeypasswd为duke别名的密码.这行命令的作用是产生一个新的公共/私有钥匙对.
假如你想修改密码,可以用:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
将旧密码dukekeypasswd改为newpass.
可以用-keystore指定其名时,将产生指定的keystore.
2.
检查一个keystore:
keytool -list -v -keystore keystore
Enter keystore password:your password(输入密码)
3.输出keystore到一个文件:testkey:
keytool -export -alias duke -keystore keystore -rfc -file testkey
系统输出:
Enter keystore password:your password(输入密码)
Certificate stored in file
例如:keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
将把证书库 monitor.keystore 中的别名为 monitor 的证书导出到 monitor.cer 证书文件中,它包含证书主体的信息及证书的公钥,不包括私钥,可以公开。
4.输入证书到一个新的truststore:
keytool -import -alias dukecert -file testkey -keystore truststore
Enter keystore password:your new password.(输入truststore新密码)
将keystore导入证书中这里向Java默认的证书 cacerts导入Rapa.cert
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts
5.证书条目的删除
keytool的命令行参数 -delete 可以删除密钥库中的条目,如: keytool -delete -alias RapaServer -keystore d2aApplet.keystore ,这条命令将 d2aApplet.keystore 中的 RapaServer 这一条证书删除了。
7,将证书导出到证书文件
keytool -export -alias myCA -file myCA.cer -keystore myCALib -storepass 123456 -rfc
使用该命令从名为myCALib的keystore中,把别名为myCA的证书导出到证书文件myCA.cer中。(其中-storepass指定keystore的密码,-rfc指定以可查看编码的方式输出,可省略)。
8,通过证书文件查看证书信息
keytool -printcert -file myCA.cer
9,密钥库中证书条目口令的修改
Keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib
10,删除密钥库中的证书条目
keytool -delete -alias myCA -keystore myCALib
11,把一个证书文件导入到指定的密钥库
keytool -import -alias myCA -file myCA.cer -keystore truststore
(如果没有名为truststore的keystore,将自动创建,将会提示输入keystore的密码)
12,更改密钥库的密码
keytool -storepasswd -new 123456 -storepass 789012 -keystore truststore
其中-storepass指定原密码,-new指定新密码。
[3]
自己的实例
(1)用法总结:
1.
keystore好像一个数据库.每种操作,都要先指定keystore名与密码,以及操作的对象别名如:
..... -alias AAA -keystore jServer.keystore -storepass 123456
2.
操作的一般格式:
keytool + 操作类型[-genkey,-list -v,-printcert -file,-import -flie,-export -file,-delete,-
keypasswd -new,-storepasswd -new] + 再加上上面的格式.
(2)实例
C:\keytool>keytool -genkey -alias jason -keystore jServer.keystore -keyalg RSA
输入keystore密码: 1234
Keystore 密码太短 -至少必须为6个字符
输入keystore密码: 123456
您的名字与姓氏是什么?
[Unknown]: huang
您的组织单位名称是什么?
[Unknown]: access
您的组织名称是什么?
[Unknown]: access
您所在的城市或区域名称是什么?
[Unknown]: sz
您所在的州或省份名称是什么?
[Unknown]: gd
该单位的两字母国家代码是什么
[Unknown]: china
CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 正确吗?
[否]: y
输入<jason>的主密码
(如果和 keystore 密码相同,按回车): 74123
主密码太短 -至少必须为 6 个字符
输入<jason>的主密码
(如果和 keystore 密码相同,按回车): 456789
C:\keytool>keytool -list -v -keystore jServer.keystore
输入keystore密码: 123456
Keystore 类型: jks
Keystore 提供者: SUN
您的 keystore 包含 1 输入
别名名称: jason
创建日期: 2009-6-24
输入类型:KeyEntry
认证链长度: 1
认证 [1]:
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期间: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
认证指纹:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
*******************************************
*******************************************
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -rfc -file jasonfile
输入keystore密码: 123456
保存在文件中的认证 <jasonfile>
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f
ile jasonfile2
保存在文件中的认证 <jasonfile2>
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f
ile jasonfile.cer
保存在文件中的认证 <jasonfile.cer>
C:\keytool>keytool -printcert -file jasonfile.cer
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期间: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
认证指纹:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer -
storepass 123456
keytool错误: java.lang.Exception: Keystore 文件不存在: jServer
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer.k
eystore -storepass 123456
C:\keytool>keytool -list -v -alias jason -storepass 123456
keytool错误: java.lang.Exception: Keystore 文件不存在: C:\Documents and Settings\Administr
ator\.keystore
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
别名名称: jason
创建日期: 2009-6-24
输入类型:KeyEntry
认证链长度: 1
认证 [1]:
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期间: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
认证指纹:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -delete -alias jason -keystore jServer.keystore -storepass 123456
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
keytool错误: java.lang.Exception: 别名 <jason> 不存在
C:\keytool>keytool -import -alias hwj -file jasonfile.cer -keystore jServer.keystore -storep
ass 123456
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期间: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
认证指纹:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
信任这个认证? [否]: y
认证已添加至keystore中
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
keytool错误: java.lang.Exception: 别名 <jason> 不存在
C:\keytool>keytool -list -v -alias hwj -keystore jServer.keystore -storepass 123456
别名名称: hwj
创建日期: 2009-6-24
输入类型: trustedCertEntry
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号: 4a40fd0f
有效期间: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009
认证指纹:
MD5: 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -storepasswd -new 20070423 -keystore jServer.keystore -storepass 123456
发表评论
-
javafx webview 与 javafx 控制浏览器
2017-05-16 19:21 1588想针对已有web ui 做个java 客户端,复用web ... -
jdbcdslog 是一款用来跟踪 JDBC 的全功能工具,记录带有详细参数值的SQL
2012-07-03 10:34 2082jdbcdslog 是一款用来跟踪 JDBC 的全功能工具 ... -
java ant 编译源码时 源码中的 非.java文件 无法编译到相应目录
2012-05-22 18:27 806java ant 编译源码时 源码中的 非.java文件 无法 ... -
Kerberos 介绍
2012-02-14 17:57 988Kerberos 协议: Kerberos 协议主要用于 ... -
SSLEngine + NIO 实现SSL握手协议
2012-02-10 17:46 2498Java 提供了阻塞和非阻塞I/O。非阻塞的I/O,大大提高了 ... -
java nio 示例
2012-02-09 14:47 728NIO主要原理和适用。 NIO 有一个主要的类Sel ... -
nio 简介
2012-01-24 12:11 7151. 基本 概念 IO 是主存和外部设备 ( 硬盘 ...
相关推荐
下面将详细介绍Portecle Keystore制作工具及其相关知识点。 1. **什么是Keystore** Keystore是Java提供的一种安全机制,用于存储用户的私钥、公钥、证书以及密码等敏感信息。在SSL/TLS协议中,Keystore通常包含...
本文将详细介绍如何在命令行环境下生成`android.keystore`文件,并提供一些基本的操作指导。 #### 命令解释与步骤说明 1. **环境准备**: - 首先,确保已经安装了Java开发工具包(JDK)。 - 打开命令提示符窗口或...
在`iteye`博客中,作者可能详细介绍了`keystore`的生成、使用源码解析以及相关工具的使用技巧。这些内容可以帮助开发者更深入地理解`keystore`的工作原理,并提供实践指导。 六、安全考虑 虽然`keystore`是保护应用...
本文将深入探讨keystore转换为x509.pem和pk8的过程,并介绍提供的工具在Windows和Linux平台上的使用方法。 首先,keystore通常用于存储应用的SSL/TLS证书或Android应用的签名密钥。它包含一个或多个密钥对,每个...
### 三、KeyStore介绍 #### 1. KeyStore的作用 KeyStore是一种安全地存储数字证书和私钥的文件格式,广泛应用于Java开发中。它可以帮助开发者保护敏感信息的安全传输,如密码、加密密钥等。 #### 2. KeyStore的...
本文档将详细介绍如何使用Android Keystore提供者。 在安全特性方面,Android Keystore系统采取了提取预防措施以保护密钥材料不被未授权使用。首先,Android Keystore通过阻止密钥材料从应用程序进程中和从整个...
本文将详细介绍如何生成keystore,并使用它来完成Android应用程序的签名。 #### 二、什么是keystore? keystore是一种用于存储密钥和数字证书的容器,它是Java安全架构的一部分。在Android开发中,keystore用来...
本文将详细介绍如何生成一个***.keystore文件,并使用它对APK进行重新签名,以便于发布。 首先,理解 keystore 的概念至关重要。keystore 是一个包含一个或多个数字证书的文件,用于验证应用的开发者身份。在...
本文将详细介绍"amlogic-9.0-系统签名keystore"的相关知识点,包括系统签名的作用、Amlogic平台、Android Studio中的签名流程以及压缩包内各文件的用途。 一、系统签名的作用 系统签名是在Android系统中确保应用和...
如果你在网上搜debug.keystore的位置,大部分文章都会告诉你在 C:\Users\XXX\.android 目录下,但我电脑的该目录下确实没有这个文件,放入同事的debug.keystore也不会生效。 后来在Android SDK的子目录.android下搜...
以下详细介绍了这些步骤及其相关知识。 ### 生成keystore 生成keystore主要使用Java自带的keytool工具,它位于JDK的jre\bin目录下。为了创建一个keystore,开发者需要提供一些参数,如别名、加密算法、有效期以及...
下面将详细介绍这个流程。 首先,我们来理解Keystore的概念。Keystore是一个包含一个或多个密钥对的文件,用于对软件进行数字签名。在Android中,Keystore是用于保护开发者身份的证书,每个发布到Google Play Store...
接下来,我们将分步骤介绍如何使用`keytool`来创建服务端和客户端所需的证书和keystore,并实现双向加密。 ##### 步骤1:生成服务端keystore 首先,我们需要生成服务端的keystore,该keystore包含服务端的私钥和...
本文将详细介绍该错误的解决办法,并提供相关的知识点。 知识点一:什么是 keystore? keystore 是一个存储密钥的文件,用于身份验证和加密。在 Android 中,keystore 文件用于存储应用程序的签名密钥,用于在应用...
首先,我们将介绍如何生成keystore。keystore是一个包含私钥和公钥的文件,用于签署应用程序。我们将向您展示如何使用keytool命令行工具创建一个新的keystore,以及如何设置密钥库密码和别名。 接下来,我们将详细...