Keytool使用

一、关于加解密的一些概念

    1、按照加密技术的密码体制分为：

       对称加密（DES加密）和非对称加密（RSA）；

       对称加密：加密、解密的密钥是相同的；

       非对称加密：公钥、私钥方式，公开公钥；

    2、证书实际是由证书签证机关（CA）签发的对用户的公钥的认证

       证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等；

            目前，证书的格式和验证方法普遍遵循X.509 国际标准；

        一个证书是一个实体的数字签名,还包含这个实体的公共钥匙值

   3、公共钥匙

        是一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.

        公共钥匙用来检验签名；

   4、数字签名

         是实体信息用实体的私有钥匙签名（加密）后的数据.这条数据可以用这个实体的公共钥匙来检验签名（解密）出实体信息以鉴别实体的身份；                 

   5、签名

            用实体私有钥匙加密某些消息，从而得到加密数据；

   6、私有钥匙

            是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中；

            公共钥匙用来加密数据，私有钥匙用来计算签名；

            公钥加密的消息只能用私钥解密，私钥签名的消息只能用公钥检验签名；

   7、实体

            一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西。

 

二、Keytool

      Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中。

     1、在keystore里，包含两种数据：

         密钥实体（Key entity）            密钥（secret key）又或者是私钥和配对公钥（采用非对称加密） 

         可信任的证书实体（trusted certificate entries）          只包含公钥

     2、keytool常用命令

         -genkey      

              在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名，mykey中包含用户的公钥、私钥和

              证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录，

              如：对于window xp系统，会生成在系统的C:\Documents and Settings\UserName\文件名为“.keystore”)

        -alias       

              产生别名,每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写

        -keystore   

              指定密钥库的名称(产生的各类信息将不在.keystore文件中)

        -keyalg      

              指定密钥的算法 (如 RSA  DSA（如果不指定默认采用DSA）)

        -validity    

              指定创建的证书有效期多少天

        -keysize     

              指定密钥长度

        -storepass   

              指定密钥库的密码(获取keystore信息所需的密码)

        -keypass     

              指定别名条目的密码(私钥的密码)

        -dname       

              指定证书拥有者信息

         例如：  "CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"

        -list        

              显示密钥库中的证书信息

        -v           

              显示密钥库中的证书详细信息

        -export      

              将别名指定的证书导出到文件 

          keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码

        -file        

              参数指定导出到文件的文件名

        -delete      

              删除密钥库中某条目 

         keytool -delete -alias 指定需删除的别名  -keystore 指定keystore  -storepass 密码     

        -printcert   

              查看导出的证书信息

         keytool -printcert -file yushan.crt        

        -keypasswd   

              修改密钥库中指定条目口令   

         keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new  新密码  -storepass keystore密码  -keystore

        -import      

              将已签名数字证书导入密钥库 

         keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书

        下面是各选项的缺省值。 

              -alias "mykey"

              -keyalg "DSA"

              -keysize 1024

              -validity 90

              -keystore 用户宿主目录中名为 .keystore 的文件

              -file 读时为标准输入，写时为标准输出 

      3、使用示例

        （1）、keystore生成

            分步生成

            keytool -genkey -alias yushan(别名) -keypass yushan(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度)

                         -validity 365(有效期，天单位) -keystore e:\yushan.keystore(指定生成证书的位置和证书名称) 

                         -storepass 123456(获取keystore信息的密码)；回车输入相关信息即可；

              一次生成

                 keytool -genkey -alias yushan -keypass yushan -keyalg RSA -keysize 1024 -validity 365 -keystore e:\yushan.keystore 

                         -storepass 123456 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称),

                         C=(单位的两字母国家代码)";(中英文即可)

 

              CN:    必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的  访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”

       （2）、keystore信息查看

               keytool -list  -v -keystore e:\keytool\yushan.keystore -storepass 123456

       （3）、证书导出

               keytool -export -alias yushan -keystore e:\yushan.keystore -file e:\yushan.crt(指定导出的证书位置及证书名称) -storepass 123456

       （4）、查看导出的证书信息

               keytool -printcert -file yushan.crt

       （5）、证书导入

              准备一个导入的证书：

              keytool -genkey -alias shuany -keypass shuany -keyalg RSA -keysize 1024 -validity 365 -keystore  e:\shuany.keystore 

                      -storepass 123456 -dname "CN=shuany, OU=xx, O=xx, L=xx, ST=xx, C=xx";

              keytool -export -alias shuany -keystore e:

              keytool -export -alias shuany -keystore e:\shuany.keystore -file e:\shuany.crt -storepass 123456

                   现在将shuany.crt 加入到yushan.keystore中：

                   现在将shuany.crt 加入到yushan.keystore中：

              keytool -import -alias shuany(指定导入证书的别名，如果不指定默认为mykey,别名唯一，否则导入出错) -file e:\shuany.crt 

                       -keystore e:\yushan.keystore -storepass 123456 

              keytool -list  -v -keystore e:\keytool\yushan.keystore -storepass 123456

       （6）、证书条目删除

            keytool -delete -alias shuany(指定需删除的别名) -keystore yushan.keystore -storepass 123456 

       （7）、证书条目口令的修改

              keytool -keypasswd -alias yushan(需要修改密码的别名) 

              keytool -keypasswd -alias yushan(需要修改密码的别名) -keypass yushan(原始密码) -new 123456(别名的新密码)  

                      -keystore e:\yushan.keystore -storepass 123456

       （8）、keystore口令修改

              keytool -storepasswd -keystore e:\yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)

       （9）、修改keystore中别名为xx的信息

                  keytool -selfcert -alias yushan -keypass yushan -keystore e:\yushan.keystore -storepass 123456 

                          -dname "cn=yushan,ou=yushan,o=yushan,c=us"

      

三、常见处理

    1、tomcat启动直接报错：No Certificate file specified or invalid file format

      将protocol的值（HTTP/1.1）修改如下：  

         <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" keystoreFile="e:/tomcat.keystore" keystorePass="111111"/>

 

    2、java.security.UnrecoverableKeyException: Cannot recover key       

           keytool -genkey -alias tomcat -keypass（主密码） 111111 -keyalg RSA -keysize 1024 -validity 365 -keystore e:\tomcat.keystore 

                   -storepass（keystore密码） 11111 -keyoass 与 -storepass需要设置相同的值

 

   3、tomcat配置ssl

        （1）、使用jdk提供的keytool创建keystore文件（包含私钥、公钥、数字签名等信息）

       （2）、配置tomcat来使用该keystore文件（server.xml文件中配置，connector添加 keystorefile、keystorepass）

       （3）、测试（https://localhost:8443/）

       （4）、配置应用以便使用ssl（web.xml将 URL 映射设为 /* ，这样你的整个应用都要求是 HTTPS 访问，

             而 transport-guarantee 标签设置为 CONFIDENTIAL 以便使应用支持 SSL。

             如果你希望关闭 SSL ，只需要将 CONFIDENTIAL 改为 NONE 即可）

               <security-constraint>

                  <web-resource-collection>

                      <web-resource-name>securedapp</web-resource-name>

                      <url-pattern>/*</url-pattern>

                  </web-resource-collection>

                  <user-data-constraint>

                      <transport-guarantee>CONFIDENTIAL</transport-guarantee>

                  </user-data-constraint>

              </security-constraint>

 

 

 

  

---

项目中使用示例：

是JDK1.6则下载bcprov-jdk16-141.jar，且将该文件放到jdk1.6.0_03\jre\lib\ext目录下，然后运行以下命令即可以生成BKS的证书库和相应的证书。

 

keytool -genkey -alias <别名> -keypass <密钥口令>  -keyalg RSA -keysize 1024 -validity 365 -keystore <库文件名，如runcerts.keystore> -storepass <证书库密码> -dname "cn=runtestuser3, ou=vpn, o=run, c=CN, l=shanghai" -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

 

 

1、生成服务器证书库

keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore E:\ssl\server.keystore -dname "CN=192.168.31.40,OU=xxxxx,O=xxxxx,L=xxxx,ST=xxxx,c=cn" -storepass 123456 -keypass 123456

 

keytool -genkey -alias server -storetype BKS  -keyalg RSA -keystore

 E:\ssl\key\server.keystore -validity 365  -dname "CN=192.168.31.40,OU=xxxxx,O=

xxxxx,L=xxxx,ST=xxxx,c=cn"  -provider org.bouncycastle.jce.provider.BouncyCastl

eProvider

 

 

 

2、生成客户端证书库

 

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\ssl\client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456

 

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -sto

retype BKS -keystore E:\ssl\key\client.p12 -dname "CN=client,OU=xxxxx,O=xxxxx,L=

xxxx,ST=xxxx,c=cn" -storepass 123456 -keypass 123456 -provider org.bouncycastl

e.jce.provider.BouncyCastleProvider

 

 

3、从客户端证书库中导出客户端证书

 

keytool -export -v -alias client -keystore E:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file E:\ssl\client.cer

 

keytool -export -v -alias client -keystore E:\ssl\client.p12 -storetype BKS -storepass 123456 -rfc -file E:\ssl\client.cer

 

 

4、从服务器证书库中导出服务器证书

 

keytool -export -v -alias server -keystore E:\ssl\server.keystore -storepass 123456 -rfc -file E:\ssl\server.cer

 

keytool -export -v -alias server -keystore E:\ssl\server.keystore -storetype BKS -storepass 123456 -rfc -file E:\ssl\server.cer

 

5、生成客户端信任证书库(由服务端证书生成的证书库)

 

keytool -import -v -alias server -file E:\ssl\key\server.cer -keystore E:\ssl\key\client.truststore -storepass 123456 -storetype BKS

 

 

6、将客户端证书导入到服务器证书库(使得务器信任客户端证书)

 

keytool -import -v -alias client -file E:\ssl\key\client.cer -keystore E:\ssl\key\server.keystore -storepass 123456 -storetype BKS

 

 

7、查看证书库中的全部证书

 

keytool -list -keystore E:\ssl\server.keystore -storepass 123456