KeyTool 工具生成X.509证书
学习系统过程中看到与其它系统交互用到证书认证,整理网上以及自己学习的一些规则制作出两个版本的证书生成方式
主要原理是使用jdk提供的 keytool命令实现
1 命令行
1.1 生成证书
keytool -genkey -alias tomcat -keyalg RSA -keystore e:/tomcat/https/mykey -storepass 111111 -keypass 111111
1.2 导出证书
keytool -export -alias tomcat -storepass 111111 -file server.cer -keystore e:/tomcat/https/mykey
制作windows 批处理脚本如下:
01-GenRSA.cmd (生成证书)
@echo off color 3A rem 显示工具信息 call 03-initInfo.cmd rem 定义变量 set "cd=%~dp0" set "keystoreFile=%cd%\file\demo.jks" set "validity=30" set "keysize=1024" set "alias=test_cert" set "keyalg=RSA" set "storepass=storepass" rem 建议去掉此项改为手工录入 set "keypass=keypass" rem 建议去掉此项改为手工录入 rem 对称加密算法genkey 非对称加密 genkeypair rem set "gen=-genkeypair" rem set "gen=-genkey" rem dname "CN=JsHand,OU=jshand.com CLD,O=jshand.com,L=BJ,ST=BJ,C=CN" set "dname="CN=JsHand,OU=jshand.com CLD,O=jshand.com,L=BJ,ST=BJ,C=CN"" rem 显示证书信息 call 04-showJksInfo.bat echo. echo. echo. keytool -genkeypair -validity %validity% -keysize %keysize% -alias %alias% -keyalg %keyalg% -keystore %keystoreFile% -storepass %storepass% -keypass %keypass% -v -dname %dname% echo 按任意键退出程序 pause>nul
02-ExportRSA.cmd (导出证书)
@echo off call 03-initInfo.cmd rem 定义变量 set "cd=%~dp0" rem 当前目录 set "filedir=%cd%\file" set "keystoreFile=%filedir%\demo.jks" set "alias=test_cert" set "cerFile=%filedir%\demo.cer" set "storepass=storepass" rem 建议去掉此项改为手工录入 rem 对称加密算法genkey 非对称加密 genkeypair rem set "gen=-genkeypair" rem set "gen=-genkey" rem dname "CN=JsHand,OU=Sinosig CLD,O=Sinosig,L=BJ,ST=BJ,C=CN" set "dname="CN=JsHand,OU=Sinosig CLD,O=Sinosig,L=BJ,ST=BJ,C=CN"" echo ******************************************** echo 证书信息 echo ******************************************** echo keystoreFile 文件存储名为:%keystoreFile% echo alias 别名为:%alias% echo storepass 别名密码为:********* echo 按任意键生成证书 pause>nul cls echo. keytool -export -keystore %keystoreFile% -alias %alias% -file %cerFile% -storepass %storepass% echo 按任意键退出程序 pause>nul
03-initInfo.cmd (显示工具信息,无关紧要)
pause @echo off rem 设置颜色 纯属为了美观,非必须 color 3A echo ********************************************* echo 关于本工具 echo ********************************************* echo 欢迎使用 keytool 证书生成工具 echo http://www.jshand.com echo 本程序利用java keytool 命令 echo 需要配置java环境变量,且jdk1.4+ echo 按任意键开始生成... rem 暂停一下,不要显示不想要的 “请按任意键继续. . .” pause>nul cls
04-showJksInfo.cmd (生成证书前显示证书信息 非必须)
echo ******************************************** echo 证书信息 echo ******************************************** echo keystoreFile 文件存储名为:%keystoreFile% echo validity 有效期为:%validity% echo keysize 密钥为:%keysize% echo alias 别名为:%alias% echo keyalg 加密算法为:%keyalg% echo storepass 别名密码为:********* echo keypass 密钥库密码为:******* echo dname 对象为:%dname% echo 按任意键继续生成 pause>nul cls
提供精简版 all.cmd
@echo off rem 生成证书 keytool -genkeypair -validity 30 -keysize 1024 -alias myalias -keyalg RSA -keystore demo.jks -storepass 123456 -keypass 654321 -v -dname "CN=JsHand,OU=jshand.com CLD,O=jshand,L=BJ,ST=BJ,C=CN" echo. rem 导出证书 部分参数 需要与上述参数一致 keytool -export -keystore demo.jks -alias myalias -file demo.cer -storepass 123456 echo. echo 任意键退出 pause>nul
2 使用java代码生成证书
2.1调用sun.security.tools.KeyTool类的main方法
public static void main(String[] args) throws Exception
{
// 所有变量都是写死的, 可以自己修改
// 生成证书
String doscmd = "-genkeypair -validity 30 -keysize 1024 "
+ " -alias myalias -keyalg RSA -keystore d:\\demo.jks -storepass 123456 "
+ " -keypass 654321 -v -dname CN=JsHand,OU=jshand.com,O=jshand,L=BJ,ST=BJ,C=CN";
String[] paramArrayOfString = doscmd.split("\\s+");
sun.security.tools.KeyTool.main(paramArrayOfString);
// 暂停1.5秒 否则没有生成证书 后会导致导出证书也失败
Thread.sleep(1500);
// 导出证书
doscmd = "-export -keystore d:\\demo.jks -alias myalias -file d:\\demo.cer -storepass 123456 ";
paramArrayOfString = doscmd.split("\\s+");
sun.security.tools.KeyTool.main(paramArrayOfString);
}
2.2调用keytool.exe
此处采用网上的实现,即java调用cmd命令后执行keytool,其中有个线程休眠操作,防止生成证书命令未执行完 随即执行导出证书命令,所有参数均写死,可以优化成变量传参的形式。代码如下
import java.io.InputStream;
/**
* TODO(用一句话描述该文件的作用)
*
* @title: CreateAndExportPKI.java
* @author zhangjinshan-ghq
* @date 2014-6-5 下午12:12:37
*/
/**
* TODO(这里用一句话描述这个类的作用)
*
* @className CreateAndExportPKI
* @author zhangjinshan-ghq
* @version V1.0 2014-6-5 下午12:12:37 TODO(如果是修改版本,描述修改内容)
*/
public class CreateAndExportPKI
{
public static void execDos(String doscmd) throws InterruptedException
{
String[] cmd = new String[3];
cmd[0] = "cmd.exe";
cmd[1] = "/C";
cmd[2] = doscmd;
String executeComd = "cmd.exe " + " /C " + doscmd;
try
{
System.out.println("cmd 命令如下-->" + cmd[2]);
Runtime runtime = Runtime.getRuntime();
Process processa = runtime.exec(executeComd);
InputStream in = processa.getInputStream();
Thread.sleep(1500);
// 将cmd显示的内容输出到命令行
while (in.available() > 0)
{
byte[] b = new byte[in.available()];
in.read(b);
System.out.println(new String(b, "iso8859-1"));
}
in.close();
}
catch (java.io.IOException e)
{
System.err.println("IOException " + e.getMessage());
}
}
public static void main(String[] args) throws InterruptedException
{
// 所有变量都是写死的, 可以自己修改
// 生成证书
String doscmd = " keytool -genkeypair -validity 30 -keysize 1024 "
+ " -alias myalias -keyalg RSA -keystore d:\\demo.jks -storepass 123456 "
+ " -keypass 654321 -v -dname \"CN=JsHand,OU=jshand.com CLD,O=jshand,L=BJ,ST=BJ,C=CN\"";
execDos(doscmd);
// 暂停1.5秒 否则没有生成证书 后会导致导出证书也失败
Thread.sleep(1500);
// 导出证书
doscmd = "keytool -export -keystore d:\\demo.jks -alias myalias -file d:\\demo.cer -storepass 123456 ";
execDos(doscmd);
}
}
3 参考
3.1 keytool 具体参数如下(摘自网络,可以百度或者Google)
-genkey 在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书
-alias 产生别名
-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中
-keyalg 指定密钥的算法
-validity 指定创建的证书有效期多少天
-keysize 指定密钥长度
-storepass 指定密钥库的密码
-keypass 指定别名条目的密码
-dname 指定证书拥有者信息 例如: "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn"
-list 显示密钥库中的证书信息 keytool -list -v -keystore sage -storepass ....
-v 显示密钥库中的证书详细信息
-export 将别名指定的证书导出到文件 keytool -export -alias caroot -file caroot.crt
-file 参数指定导出到文件的文件名
-delete 删除密钥库中某条目 keytool -delete -alias sage -keystore sage
-keypasswd 修改密钥库中指定条目口令 keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage
-import 将已签名数字证书导入密钥库 keytool -import -alias sage -keystore sagely -file sagely.crt
导入已签名数字证书用keytool -list -v 以后可以明显发现多了认证链长度,并且把整个CA链全部打印出来。
3.2 命令行中keytool的所有参数
keytool 用法:
-certreq [-v] [-protected]
[-alias <别名>] [-sigalg <sigalg>]
[-file <csr_file>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-changealias [-v] [-protected] -alias <别名> -destalias <目标别名>
[-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-delete [-v] [-protected] -alias <别名>
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-exportcert [-v] [-rfc] [-protected]
[-alias <别名>] [-file <认证文件>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-genkeypair [-v] [-protected]
[-alias <别名>]
[-keyalg <keyalg>] [-keysize <密钥大小>]
[-sigalg <sigalg>] [-dname <dname>]
[-validity <valDays>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-genseckey [-v] [-protected]
[-alias <别名>] [-keypass <密钥库口令>]
[-keyalg <keyalg>] [-keysize <密钥大小>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-help
-importcert [-v] [-noprompt] [-trustcacerts] [-protected]
[-alias <别名>]
[-file <认证文件>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-importkeystore [-v]
[-srckeystore <源密钥库>] [-destkeystore <目标密钥库>]
[-srcstoretype <源存储类型>] [-deststoretype <目标存储类型>]
[-srcstorepass <源存储库口令>] [-deststorepass <目标存储库口令>]
[-srcprotected] [-destprotected]
[-srcprovidername <源提供方名称>]
[-destprovidername <目标提供方名称>]
[-srcalias <源别名> [-destalias <目标别名>]
[-srckeypass <源密钥库口令>] [-destkeypass <目标密钥库口令>]]
[-noprompt]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-keypasswd [-v] [-alias <别名>]
[-keypass <旧密钥库口令>] [-new <新密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-list [-v | -rfc] [-protected]
[-alias <别名>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-printcert [-v] [-file <认证文件>]
-storepasswd [-v] [-new <新存储库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
3.4 bat 获取当期路径
http://blog.csdn.net/guomao545/article/details/6417667
3.5 java命令keytool 中的参数
http://woainishijin456.blog.163.com/blog/static/9893862620124153220890/
相关推荐
Java生成X509证书是Java开发者在进行...总结来说,`java生成X509证书jar包`是利用Bouncy Castle库封装的Java工具,提供了便捷的X509证书生成和管理功能,可以帮助开发者在处理安全通信问题时快速生成符合标准的证书。
首先,"platform.x509.pem"是一个X.509证书,它包含了公钥信息。X.509是一种国际标准,用于数字证书,用于确认网络实体的身份。在Android系统中,这个证书用于验证系统应用和更新的来源,确保它们是由官方认可的...
`keytool-importkeypair`命令是`keytool`的一个扩展,主要用于将私钥和相应的X.509证书导入到KeyStore,这在生成和管理Android系统签名时非常有用。通过执行这个命令,开发者可以将已有的密钥对导入到特定的KeyStore...
Java 生成和解析证书是指使用 Java 语言生成和解析 X.509 格式的数字证书。数字证书是一种电子证书,用于验证身份、确保数据安全和加密数据传输。在 Java 中,可以使用 java.security.cert 包下的类和方法来生成和...
`platform.pk8`与`platform.x509.pem`的生成通常涉及到一个名为`keytool`的Java命令行工具。开发者或制造商需要使用`keytool`创建一对密钥,然后导出公钥证书。这个过程确保了只有拥有相应私钥的实体才能签署系统...
Portecle 是一个图形化界面的 JDK 中的命令行工具 keytool ,可生成各种不同类型的密钥库,生成并存储相关的 X.509 证书、生成 CSRs、导入和储存信任的证书并进行维护。 http://www.oschina.net/p/portecle
2. **导出公钥证书**:使用`keytool -exportcert`命令将JKS中的公钥导出为X.509格式的证书,通常为`.crt`或`.cer`文件。 3. **导入证书到JKS**:如果需要将其他系统的公钥证书导入到JKS,可以使用`keytool -...
Java代码验证keytool工具生成的密钥对是一个关键的安全操作,尤其在开发和部署SSL/TLS加密、Android应用签名或服务器身份验证等场景中。Keytool是Java Development Kit(JDK)自带的一个命令行工具,用于管理公钥/...
DN是X.509证书中一个独特的标识符,它用来唯一地标识证书持有者。DN通常包含组织名、组织单位、地理位置、国家等信息,格式如下: ``` CN=Common Name, OU=Organizational Unit, O=Organization, L=Locality, ST=...
1. **证书生成与管理**:首先,你需要生成X.509证书,这通常通过Keytool(Java自带的工具)或者OpenSSL完成。证书包含公钥和身份信息,私钥则用于解密和签名。 2. **CXF配置**:在服务端,你需要将生成的证书和私钥...
`platform.x509.pem`是一个X.509格式的公钥证书。这种证书被广泛用于验证服务器身份、加密数据和进行数字签名。在Android系统签名中,平台证书用于证明系统更新是由官方发布的,确保其合法性。 `platform.pk8`文件...
keytool 是一个密钥和证书管理工具,用于管理由私钥和认证相关公钥的 X.509 证书链组成的密钥仓库(数据库)。它还管理来自可信任实体的证书。结构 keytool [ 命令] 说明keytool 是个密钥和证书管理工具。它使用户...
`.pk8`文件是私钥的二进制格式,而`.x509.pem`是公钥的X.509标准格式的证书。在Android系统签名中,这些文件通常与特定的Android平台版本相关联,用于验证系统更新或预装应用的合法性。它们可能由Google或其他设备...
4. **Java密钥和证书管理**:在Java中,`java.security.KeyPairGenerator`类用于生成密钥对,`java.security.cert.Certificate`接口代表证书,而`java.security.cert.X509Certificate`则专门处理X.509证书。...
总结起来,Java证书生成涉及到的关键技术包括密钥对生成、X.509证书构造、签名和密钥库管理。`certificate-generator-master`项目可能是一个全面的解决方案,它封装了这些步骤,为开发者提供便利。学习和理解这些...
2. **Keytool命令行工具**:Keytool是Java的标准工具,用于生成、存储、导出、导入和管理密钥对及证书。它可以创建Keystore,这是存储密钥对和证书的安全库,支持多种格式如JKS(Java Key Store)和PKCS12。 3. **...
在Java中,可以使用`java.security.cert.X509Certificate`类来创建和操作X.509证书。 6. **使用jre6的rt.jar**:在描述中提到引入了jre6的rt.jar,这是因为不同的Java版本可能对加密算法的支持有所不同。rt.jar是...