`
desert3
  • 浏览: 2158615 次
  • 性别: Icon_minigender_1
  • 来自: 合肥
社区版块
存档分类
最新评论

keytool、keystore、jarsigner、生成自签名证书

 
阅读更多
Keytool是Java的密钥和数字证书管理工具,位于JDK_HOME\Bin目录下。它使用户能够管理自己的密钥对及相应证书,允许用户以证书形式发布他们的公钥信息给通信用户。发布的证书用以保护用户数据的完整性和真实性,完整性的意思是数据没有被修改或损坏过,真实性的意思是数据的确是来自声称创建了该数据和对它进行了签名的实体。

Keytool创建的证书是以别名的形式存放在证书库(keystore)中,证书库中的一条证书包含私钥,公钥和相应的主体信息。证书库中的一条证书可以导出为数字证书文件,导出的数字证书文件只包括主体信息和对应的公钥

常用操作:
  • 生成自签名证书:keytool -genkey -alias casdemo -keyalg RSA -keysize 1024 -storepass P@ssw0rd -keypass P@ssw0rd -validity 365 -keystore E:\WorkRecords\CAS\casdemo.keystore
  • 查看证书库证书:缺省情况下,-list 命令打印证书的 MD5 指纹。而如果指定了-v 选项,将以可读格式打印证书,如果指定了-rfc 选项,将以可打印的编码格式输出证书。
  • keytool -list -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd

    keytool -list -v -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd

    keytool -list -rfc -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd
  • 删除证书库证书:keytool -delete -alias casdemo -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd
  • 导出证书库证书:keytool -export -alias casdemo -keystore E:\WorkRecords\CAS\casdemo.keystore -file E:\WorkRecords\CAS\casdemo.crt -storepass P@ssw0rd
  • 查看导出的证书信息:keytool -printcert -file E:\WorkRecords\CAS\casdemo.crt
  • 修改证书库访问密码:keytool -storepasswd -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass sP@ssw0rd -new P@ssw0rd
  • 修改证书库指定证书的密码(私钥):keytool -keypasswd -alias casdemo -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd -keypass kP@ssw0rd -new P@ssw0rd
  • 导入证书:keytool -import -alias casdemo -keystore %JAVA_HOME%\jre\lib\security\cacerts -file E:\WorkRecords\CAS\casdemo.crt
  • %JAVA_HOME%/jre/lib/security/cacerts为java自带的证书库,默认密码为changeit


常用参数:
  • -alias 别名,证书库中的每条证书以别名来区分,这个alias通常不区分大小写。
  • -keystore 证书库文件路径和名字
  • -keyalg 指定生成密钥对的算法(如RSA DSA,默认值为:DSA)
  • -keysize 指定密钥长度 (默认 1024)
  • -validity 指定创建的证书有效期多少天(默认 90)
  • -storepass 指定证书库的访问密码
  • -keypass 指定证书库中指定条目证书的私钥密码
  • -dname 表示证书的Distinguished Names发行者信息。其中"CN=commonName证书名(一般是网站的域名),OU=organizationUnit组织单位名称,O=organizationName组织名称,L=localityName城市或区域名,S=stateName州或省份名称,C=country两位的母国家代码"
  • -file 导出的证书位置(包含公钥和主题信息的证书)
  • -v 显示证书库中的证书详细信息
  • -rfc 以可打印的编码格式输出证书详细信息

相关参数默认值:
  • -alias "mykey"
  • -keyalg "DSA"
  • -keysize 1024
  • -validity 90
  • -keystore the file named .keystore in the user's home directory
  • -file stdin if reading, stdout if writing
  • The signature algorithm (-sigalg option) is derived from the algorithm of the underlying private key: If the underlying private key is of type "DSA", the -sigalg option defaults to "SHA1withDSA", and if the underlying private key is of type "RSA", -sigalg defaults to "MD5withRSA".

Keystore在java中的实现:
Keytool类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个GUI工具Policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
Keystore还有一个sun公司提供的內在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"JKS".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.

Keystore证书库中有两种不同类型的项:
  密钥项 - 每项存放极为敏感的加密密钥信息,这种信息以一种受保护的格式储存以防止未授权的访问。通常,储存在这类项中的密钥是机密密钥,或是伴有用于认证相应公钥用的证书“链”的私钥。keytool 和 jarsigner 工具只处理后一类型的项,即私钥及其关联的证书链。
   可信任的证书项 - 每项包含一个属于另一团体的公钥证书。它之所以叫做“可信任的证书”,是因为密钥仓库的拥有者相信证书中的公钥确实属于证书“主体”(拥有者)识别的身份。证书签发人通过对证书签名来保证这点。

证书:(也叫公钥证书)是来自某个实体(签发人)的经数字签名的声明,它声明另一实体(主体)的公钥(及其它信息)具有某一特定的值。
  • 公钥: 是与特定实体相关联的数字。所有需要与该实体进行信任交互的人都应知道该数字。公钥用于校验签名。
  • 数字签名: 如果某些数据经数字签名,说明它们已与某一实体的“身份”存储在一起,而且证明该实体的签名知道这些数据。通过用该实体的私钥进行绘制,这些数据就是不可伪造的了。
  • 签名: 用实体私有钥匙加密某些消息,从而得到加密数据;
  • 私钥: 是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.公共钥匙用来加密数据,私有钥匙用来计算签名.公钥加密的消息只能用私钥解密,私钥签名的消息只能用公钥检验签名。
  • 实体: 一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.


jarsigner 工具利用证书库中的信息来产生或校验 Java 存档 (JAR) 文件的数字签名 (JAR 文件将类文件、图象、声音和/或其它数字化数据打包在一个文件中)。jarsigner 用 JAR 文件所附带的证书(包含于 JAR 文件的签名块文件中)来校验 JAR 文件的数字签名,然后检查该证书的公钥是否“可信任”,即是否包括在指定的证书库中。

keytool 和 jarsigner 工具完全取代了 JDK 1.1 中提供的 javakey 工具。这些新工具所提供的功能比 javakey 提供的多,包括能够用口令来保护证书库和私钥,以及除了能够生成签名外还可以校验它们。新的证书库体系结构取代了 javakey 所创建和管理的身份数据库。可以利用 -identitydb keytool 命令将信息从身份数据库导入证书库。

参考:
java keytool证书工具使用小结
Java keytool命令说明
keytool密钥和证书管理工具-使用详解(整理)
jdk1.4.2 keytool
jdk1.6 keytool
jdk1.7 keytool
  • 大小: 8.2 KB
  • 大小: 4.4 KB
  • 大小: 9.7 KB
  • 大小: 16.7 KB
  • 大小: 2.7 KB
  • 大小: 6.2 KB
  • 大小: 8.7 KB
分享到:
评论

相关推荐

    Android签名用keytool和jarsigner制作apk文件.doc

    除了基本的`keytool`和`jarsigner`用法,还有一些可选参数可以调整,例如`-certreq`用于生成证书请求,`-changealias`用于更改Keystore中的别名,`-keypass`和`-storepass`分别用于指定密钥库口令和存储库口令,`-...

    keystore-explorer:KeyStore Explorer是Java命令行实用程序keytool和jarsigner的免费GUI替代品

    生成具有自签名X.509证书的RSA,ECC和DSA密钥对 将X.509证书扩展名应用于生成的密钥对和证书签名请求(CSR) 查看X.509证书,CRL和CRL条目X.509 V3扩展 以多种格式导入和导出密钥和证书:PKCS#12,PKCS#8,PKCS#...

    批量生成keystore签名文件

    下面我们将详细讨论如何批量生成keystore签名文件,以及相关的知识点。 1. **什么是keystore签名文件?** keystore是一个包含一个或多个密钥对的文件,其中包含私钥和对应的公钥。在Android开发中,keystore用于...

    Android 打包签名 从生成keystore到完成签名.zip

    这个过程包括生成密钥库(keystore)、创建签名证书以及对APK进行签名。以下将详细介绍Android应用的打包签名流程。 1. **理解签名的重要性** - **安全**:签名可以验证应用的来源,防止恶意篡改。 - **更新**:...

    Android 打包签名 从生成keystore到完成签名.rar

    在Android Studio中,这一步通常在生成签名APK的过程中自动完成。 五、发布准备 1. 签名后的APK可以上传到Google Play Store,或者作为独立的APK分发。记得在Play Console中设置应用信息,包括描述、截图、分类等。...

    JDK自带的jarsigner签名工具帮助文档

    - 确保使用正确的Keystore路径、文件名和证书别名,否则签名过程会失败。 - 保持Keystore和密码的安全,它们是验证你身份的关键。 - 如果APK需要发布到Google Play Store,应使用与上传到Play Console时相同的签名,...

    安卓Android源码——打包签名 从生成keystore到完成签名.zip

    本文将详细解析从生成keystore文件到完成签名的过程,帮助开发者理解这一关键环节。 一、keystore概述 keystore是一个包含数字证书的文件,用于存储私钥和公钥对,是Android应用进行签名的核心。在Android平台上,...

    kse-543.dmg keystore-explorer: 5.4.3

    KeyStore Explorer是Java命令行实用程序keytool和jarsigner的开源GUI替代。 KeyStore Explorer通过直观的图形用户界面展示其功能以及更多功能。 安全Java的简化开发软件开发人员应该能够专注于眼前的问题,而不必为...

    Android 打包签名 从生成keystore到完成签名.7z

    总结来说,Android应用的打包签名是一个关键步骤,涉及到生成KeyStore文件、使用KeyStore签名APK、配置Gradle自动化签名以及验证签名。这个过程保证了应用的完整性和安全性,是应用发布到Google Play或其他分发平台...

    keytool1.6

    在本文中,我们将深入探讨`keytool1.6`版本及其在生成签名文件过程中的应用。 ### 1. `keytool`简介 `keytool`主要用于以下任务: - 生成公钥和私钥对。 - 生成数字证书。 - 存储和管理本地密钥库。 - 验证证书链...

    Android--开发-- 打包签名 从生成keystore到完成签名.rar

    总结起来,Android应用的打包签名流程包括:生成keystore、使用`jarsigner`签名APK、ZIP Align优化和使用`apksigner`进行更高级别的签名。这一系列操作保证了应用的完整性和安全性,使得用户能够在Google Play或其他...

    基于Android的Android 打包签名 从生成keystore到完成签名.zip

    - 完成keystore设置后,Android Studio和IntelliJ IDEA会自动处理签名过程,生成签名的APK。在Eclipse中,你需要手动选择生成的unsigned APK,使用Export Wizard进行签名。 4. **优化和ZIPalign**: - 为了提高...

    keytool-密钥和证书管理工具[参照].pdf

    这些新工具所提供的功能比 javakey 提供的多,包括能够用口令来保护密钥仓库和私钥,以及除了能够生成签名外还可以校验它们。 keytool 命令可以用来生成密钥对、将证书或证书链添加到可信任证书的清单中、更改私钥...

    Android 打包签名 从生成keystore到完成签名毕业设计—(包含完整源码可运行).zip

    这个毕业设计项目深入探讨了这一过程,提供了从生成KeyStore文件到完成签名的完整流程,并附带了可运行的源码,为学习者提供了一个实际操作的平台。 首先,我们来理解Android应用的签名机制。Android系统要求每个...

    Android签名工具(keytool)

    下载该文件后利用JDK中jarsigner工具生成签名文件 将位置定位在jdk的bin文件中,输入以下命名行: keytool -genkey -alias ChangeBackgroundWid get.keystore -keyalg RSA -validity 20000 -eystore ...

Global site tag (gtag.js) - Google Analytics