`

KeyTool 工具生成X.509证书

阅读更多

KeyTool 工具生成X.509证书

 

学习系统过程中看到与其它系统交互用到证书认证,整理网上以及自己学习的一些规则制作出两个版本的证书生成方式 

 

主要原理是使用jdk提供的 keytool命令实现 

 

 

 

 

命令行

1.1 生成证书

keytool -genkey -alias tomcat -keyalg RSA -keystore e:/tomcat/https/mykey -storepass 111111 -keypass 111111

1.2 导出证书

keytool -export -alias tomcat -storepass 111111  -file  server.cer -keystore e:/tomcat/https/mykey

 

 

制作windows 批处理脚本如下:

 

01-GenRSA.cmd (生成证书)

 

@echo off
color 3A 
rem 显示工具信息
call 03-initInfo.cmd
rem 定义变量
set "cd=%~dp0"
set "keystoreFile=%cd%\file\demo.jks"
set "validity=30"
set "keysize=1024"
set "alias=test_cert"
set "keyalg=RSA"
set "storepass=storepass" rem 建议去掉此项改为手工录入
set "keypass=keypass"	rem 建议去掉此项改为手工录入
rem 对称加密算法genkey 非对称加密  genkeypair
rem set "gen=-genkeypair"
rem set "gen=-genkey"
rem dname "CN=JsHand,OU=jshand.com CLD,O=jshand.com,L=BJ,ST=BJ,C=CN"
set "dname="CN=JsHand,OU=jshand.com CLD,O=jshand.com,L=BJ,ST=BJ,C=CN""
rem  显示证书信息
call 04-showJksInfo.bat
echo.
echo.
echo.
keytool -genkeypair -validity %validity% -keysize %keysize% -alias %alias% -keyalg %keyalg% -keystore  %keystoreFile%  -storepass %storepass% -keypass %keypass% -v -dname %dname%
echo 按任意键退出程序
pause>nul
  

02-ExportRSA.cmd (导出证书)

 

@echo off
call 03-initInfo.cmd
rem 定义变量
set "cd=%~dp0"  rem 当前目录
set "filedir=%cd%\file"
set "keystoreFile=%filedir%\demo.jks"
set "alias=test_cert"
set "cerFile=%filedir%\demo.cer"
set "storepass=storepass" rem 建议去掉此项改为手工录入
rem 对称加密算法genkey 非对称加密  genkeypair
rem set "gen=-genkeypair"
rem set "gen=-genkey"
rem dname "CN=JsHand,OU=Sinosig CLD,O=Sinosig,L=BJ,ST=BJ,C=CN"
set "dname="CN=JsHand,OU=Sinosig CLD,O=Sinosig,L=BJ,ST=BJ,C=CN""
echo	 ********************************************
echo	 证书信息
echo	 ********************************************
echo	 keystoreFile 文件存储名为:%keystoreFile%
echo	 alias 别名为:%alias%
echo	 storepass 别名密码为:*********
echo 按任意键生成证书
pause>nul
cls
echo.
keytool   -export  -keystore  %keystoreFile%   -alias    %alias%    -file  %cerFile%    -storepass %storepass%  
echo 按任意键退出程序
pause>nul

 

03-initInfo.cmd (显示工具信息,无关紧要)

  

pause
@echo off
rem 设置颜色 纯属为了美观,非必须
color 3A 
echo	 *********************************************
echo	 关于本工具
echo	 *********************************************
echo	 欢迎使用 keytool 证书生成工具
echo	 http://www.jshand.com
echo	 本程序利用java keytool 命令
echo	 需要配置java环境变量,且jdk1.4+
echo 按任意键开始生成...
rem 暂停一下,不要显示不想要的 “请按任意键继续. . .”
pause>nul 
cls
  

04-showJksInfo.cmd (生成证书前显示证书信息 非必须)

 

echo	 ********************************************
echo	 证书信息
echo	 ********************************************
echo	 keystoreFile 文件存储名为:%keystoreFile%
echo	 validity 有效期为:%validity%
echo	 keysize 密钥为:%keysize%
echo	 alias 别名为:%alias%
echo	 keyalg 加密算法为:%keyalg%
echo	 storepass 别名密码为:*********
echo	 keypass 密钥库密码为:*******
echo	 dname 对象为:%dname%
echo 按任意键继续生成
pause>nul
cls

 

提供精简版  all.cmd 

@echo off
rem 生成证书
keytool -genkeypair -validity 30 -keysize 1024 -alias myalias -keyalg RSA -keystore  demo.jks  -storepass 123456 -keypass 654321 -v -dname "CN=JsHand,OU=jshand.com CLD,O=jshand,L=BJ,ST=BJ,C=CN"
echo.
rem 导出证书 部分参数 需要与上述参数一致
keytool   -export  -keystore   demo.jks   -alias    myalias    -file  demo.cer    -storepass 123456  
echo.
echo 任意键退出
pause>nul

 

2 使用java代码生成证书

 

 

2.1调用sun.security.tools.KeyTool类的main方法

 

public static void main(String[] args) throws Exception
    {

        // 所有变量都是写死的, 可以自己修改
        // 生成证书
        String doscmd = "-genkeypair -validity   30  -keysize    1024    "
                + " -alias  myalias -keyalg RSA -keystore  d:\\demo.jks  -storepass 123456 "
                + " -keypass 654321 -v -dname CN=JsHand,OU=jshand.com,O=jshand,L=BJ,ST=BJ,C=CN";
        String[] paramArrayOfString = doscmd.split("\\s+");
        sun.security.tools.KeyTool.main(paramArrayOfString);

        // 暂停1.5秒 否则没有生成证书 后会导致导出证书也失败
        Thread.sleep(1500);

        // 导出证书
        doscmd = "-export -keystore  d:\\demo.jks    -alias   myalias  -file  d:\\demo.cer    -storepass 123456 ";
        paramArrayOfString = doscmd.split("\\s+");
        sun.security.tools.KeyTool.main(paramArrayOfString);

    }
 

 

 

2.2调用keytool.exe

 

此处采用网上的实现,即java调用cmd命令后执行keytool,其中有个线程休眠操作,防止生成证书命令未执行完 随即执行导出证书命令,所有参数均写死,可以优化成变量传参的形式。代码如下

  

import java.io.InputStream;
/**
 * TODO(用一句话描述该文件的作用)
 * 
 * @title: CreateAndExportPKI.java
 * @author zhangjinshan-ghq
 * @date 2014-6-5 下午12:12:37
 */
/**
 * TODO(这里用一句话描述这个类的作用)
 * 
 * @className CreateAndExportPKI
 * @author zhangjinshan-ghq
 * @version V1.0 2014-6-5 下午12:12:37 TODO(如果是修改版本,描述修改内容)
 */
public class CreateAndExportPKI
{
    public static void execDos(String doscmd) throws InterruptedException
    {
        String[] cmd = new String[3];
        cmd[0] = "cmd.exe";
        cmd[1] = "/C";
        cmd[2] = doscmd;
        String executeComd = "cmd.exe " + " /C " + doscmd;
        try
        {
            System.out.println("cmd 命令如下-->" + cmd[2]);
            Runtime runtime = Runtime.getRuntime();
            Process processa = runtime.exec(executeComd);
            InputStream in = processa.getInputStream();
            Thread.sleep(1500);
            // 将cmd显示的内容输出到命令行
            while (in.available() > 0)
            {
                byte[] b = new byte[in.available()];
                in.read(b);
                System.out.println(new String(b, "iso8859-1"));
            }
            in.close();
        }
        catch (java.io.IOException e)
        {
            System.err.println("IOException " + e.getMessage());
        }
    }
    public static void main(String[] args) throws InterruptedException
    {
        // 所有变量都是写死的, 可以自己修改
        // 生成证书
        String doscmd = " keytool   -genkeypair -validity   30  -keysize    1024    "
                + " -alias  myalias -keyalg RSA -keystore  d:\\demo.jks  -storepass 123456 "
                + " -keypass 654321 -v -dname \"CN=JsHand,OU=jshand.com CLD,O=jshand,L=BJ,ST=BJ,C=CN\"";
        execDos(doscmd);
        // 暂停1.5秒 否则没有生成证书 后会导致导出证书也失败
        Thread.sleep(1500);
        // 导出证书
        doscmd = "keytool   -export -keystore  d:\\demo.jks    -alias   myalias  -file  d:\\demo.cer    -storepass 123456 ";
        execDos(doscmd);
    }
}

 

  

参考

3.1 keytool 具体参数如下(摘自网络,可以百度或者Google

 

 

-genkey      在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书 
-alias       产生别名 
-keystore    指定密钥库的名称(产生的各类信息将不在.keystore文件中 
-keyalg      指定密钥的算法  
-validity    指定创建的证书有效期多少天 
-keysize     指定密钥长度 
-storepass   指定密钥库的密码 
-keypass     指定别名条目的密码 
-dname       指定证书拥有者信息 例如:  "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn" 
-list        显示密钥库中的证书信息      keytool -list -v -keystore sage -storepass .... 
-v           显示密钥库中的证书详细信息 
-export      将别名指定的证书导出到文件  keytool -export -alias caroot -file caroot.crt 
-file        参数指定导出到文件的文件名 
-delete      删除密钥库中某条目          keytool -delete -alias sage -keystore sage 
-keypasswd   修改密钥库中指定条目口令    keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage 
-import      将已签名数字证书导入密钥库  keytool -import -alias sage -keystore sagely -file sagely.crt 
             导入已签名数字证书用keytool -list -v 以后可以明显发现多了认证链长度,并且把整个CA链全部打印出来。 

 

  

3.2 命令行中keytool的所有参数

keytool 用法:
-certreq     [-v] [-protected]
             [-alias <别名>] [-sigalg <sigalg>]
             [-file <csr_file>] [-keypass <密钥库口令>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-changealias [-v] [-protected] -alias <别名> -destalias <目标别名>
             [-keypass <密钥库口令>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-delete      [-v] [-protected] -alias <别名>
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-exportcert  [-v] [-rfc] [-protected]
             [-alias <别名>] [-file <认证文件>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-genkeypair  [-v] [-protected]
             [-alias <别名>]
             [-keyalg <keyalg>] [-keysize <密钥大小>]
             [-sigalg <sigalg>] [-dname <dname>]
             [-validity <valDays>] [-keypass <密钥库口令>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-genseckey   [-v] [-protected]
             [-alias <别名>] [-keypass <密钥库口令>]
             [-keyalg <keyalg>] [-keysize <密钥大小>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-help
-importcert  [-v] [-noprompt] [-trustcacerts] [-protected]
             [-alias <别名>]
             [-file <认证文件>] [-keypass <密钥库口令>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-importkeystore [-v]
             [-srckeystore <源密钥库>] [-destkeystore <目标密钥库>]
             [-srcstoretype <源存储类型>] [-deststoretype <目标存储类型>]
             [-srcstorepass <源存储库口令>] [-deststorepass <目标存储库口令>]
             [-srcprotected] [-destprotected]
             [-srcprovidername <源提供方名称>]
             [-destprovidername <目标提供方名称>]
             [-srcalias <源别名> [-destalias <目标别名>]
               [-srckeypass <源密钥库口令>] [-destkeypass <目标密钥库口令>]]
             [-noprompt]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-keypasswd   [-v] [-alias <别名>]
             [-keypass <旧密钥库口令>] [-new <新密钥库口令>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-list        [-v | -rfc] [-protected]
             [-alias <别名>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...
             [-providerpath <路径列表>]
-printcert   [-v] [-file <认证文件>]
-storepasswd [-v] [-new <新存储库口令>]
             [-keystore <密钥库>] [-storepass <存储库口令>]
             [-storetype <存储类型>] [-providername <名称>]
             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

 

 

 

 

3.4 bat 获取当期路径

http://blog.csdn.net/guomao545/article/details/6417667

3.5 java命令keytool 中的参数

http://woainishijin456.blog.163.com/blog/static/9893862620124153220890/

 

 

 

分享到:
评论

相关推荐

    java生成X509证书jar包

    Java生成X509证书是Java开发者在进行...总结来说,`java生成X509证书jar包`是利用Bouncy Castle库封装的Java工具,提供了便捷的X509证书生成和管理功能,可以帮助开发者在处理安全通信问题时快速生成符合标准的证书。

    platform.x509.pem、platform.pk8,签名工具“signapk.jar"

    首先,"platform.x509.pem"是一个X.509证书,它包含了公钥信息。X.509是一种国际标准,用于数字证书,用于确认网络实体的身份。在Android系统中,这个证书用于验证系统应用和更新的来源,确保它们是由官方认可的...

    keytool-importkeypair、platform.pk8、platform.x509.pem

    `keytool-importkeypair`命令是`keytool`的一个扩展,主要用于将私钥和相应的X.509证书导入到KeyStore,这在生成和管理Android系统签名时非常有用。通过执行这个命令,开发者可以将已有的密钥对导入到特定的KeyStore...

    系统签名JKS生成工具.rar

    2. **导出公钥证书**:使用`keytool -exportcert`命令将JKS中的公钥导出为X.509格式的证书,通常为`.crt`或`.cer`文件。 3. **导入证书到JKS**:如果需要将其他系统的公钥证书导入到JKS,可以使用`keytool -...

    java生成和解析证书.docx

    Java 生成和解析证书是指使用 Java 语言生成和解析 X.509 格式的数字证书。数字证书是一种电子证书,用于验证身份、确保数据安全和加密数据传输。在 Java 中,可以使用 java.security.cert 包下的类和方法来生成和...

    安卓系统签名 需要的文件 platform.pk8 platform.x509.pem fastboot驱动

    `platform.pk8`与`platform.x509.pem`的生成通常涉及到一个名为`keytool`的Java命令行工具。开发者或制造商需要使用`keytool`创建一对密钥,然后导出公钥证书。这个过程确保了只有拥有相应私钥的实体才能签署系统...

    java keytool gui 图形工具 portecle-1.7.zip

    Portecle 是一个图形化界面的 JDK 中的命令行工具 keytool ,可生成各种不同类型的密钥库,生成并存储相关的 X.509 证书、生成 CSRs、导入和储存信任的证书并进行维护。 http://www.oschina.net/p/portecle

    [重要]Java代码验证keytool工具生成的密钥对

    Java代码验证keytool工具生成的密钥对是一个关键的安全操作,尤其在开发和部署SSL/TLS加密、Android应用签名或服务器身份验证等场景中。Keytool是Java Development Kit(JDK)自带的一个命令行工具,用于管理公钥/...

    命令行keytool使用 证书DN生成数字证书容器 空格

    DN是X.509证书中一个独特的标识符,它用来唯一地标识证书持有者。DN通常包含组织名、组织单位、地理位置、国家等信息,格式如下: ``` CN=Common Name, OU=Organizational Unit, O=Organization, L=Locality, ST=...

    WebService_CXF_x509

    1. **证书生成与管理**:首先,你需要生成X.509证书,这通常通过Keytool(Java自带的工具)或者OpenSSL完成。证书包含公钥和身份信息,私钥则用于解密和签名。 2. **CXF配置**:在服务端,你需要将生成的证书和私钥...

    系统签名工具keytool-importkeypair.zip

    `platform.x509.pem`是一个X.509格式的公钥证书。这种证书被广泛用于验证服务器身份、加密数据和进行数字签名。在Android系统签名中,平台证书用于证明系统更新是由官方发布的,确保其合法性。 `platform.pk8`文件...

    keytool-密钥和证书管理工具[参照].pdf

    keytool 是一个密钥和证书管理工具,用于管理由私钥和认证相关公钥的 X.509 证书链组成的密钥仓库(数据库)。它还管理来自可信任实体的证书。结构 keytool [ 命令] 说明keytool 是个密钥和证书管理工具。它使用户...

    keytool-importkeypair.zip

    `.pk8`文件是私钥的二进制格式,而`.x509.pem`是公钥的X.509标准格式的证书。在Android系统签名中,这些文件通常与特定的Android平台版本相关联,用于验证系统更新或预装应用的合法性。它们可能由Google或其他设备...

    java代码生成数字证书

    4. **Java密钥和证书管理**:在Java中,`java.security.KeyPairGenerator`类用于生成密钥对,`java.security.cert.Certificate`接口代表证书,而`java.security.cert.X509Certificate`则专门处理X.509证书。...

    certificate-generator-master_java证书生成_

    总结起来,Java证书生成涉及到的关键技术包括密钥对生成、X.509证书构造、签名和密钥库管理。`certificate-generator-master`项目可能是一个全面的解决方案,它封装了这些步骤,为开发者提供便利。学习和理解这些...

    密钥管理工具 Keytool-IUI

    2. **Keytool命令行工具**:Keytool是Java的标准工具,用于生成、存储、导出、导入和管理密钥对及证书。它可以创建Keystore,这是存储密钥对和证书的安全库,支持多种格式如JKS(Java Key Store)和PKCS12。 3. **...

    java生成CA证书

    在Java中,可以使用`java.security.cert.X509Certificate`类来创建和操作X.509证书。 6. **使用jre6的rt.jar**:在描述中提到引入了jre6的rt.jar,这是因为不同的Java版本可能对加密算法的支持有所不同。rt.jar是...

Global site tag (gtag.js) - Google Analytics