Keytool 是安全钥匙与证书的管理工具.它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的X.509 证书链的keystore(相当一个数据库).
Keytool 是一个有效的安全钥匙和证书的管理工具. 它能够使用户使用数字签名来管理他们自己的私有/公共钥匙对,管理用来作自我鉴定的相关的证书,管理数据完整性和鉴定服务.它还能使用户在通信时缓存它们的公共钥匙.
一个证书是某一实体(个人,公司等)的数字签名,指出其他实体的公共钥匙(或其他信息)的详细的值.当数据被签名后,这个签名信息被用来检验数据的完整性和真实性.完整性指数据没有被修改和篡改,真实性指数据从任何产生和签名的一方真正的传输到达.
Keytool 把钥匙和证书储存到一个keystore.默任的实现keystore的是一个文件.它用一个密码保护钥匙.
而另外的一个工具jarsigner用keystore中的信息产生或检验Java aRchive(jar文件)中的数字签名.
Keystore有两个不同的入口:
1.钥匙入口(PrivateKeyEntry):保存了非常敏感的加密的钥匙信息,并且是用一个保护的格式存储以防止未被授权的访问.以这种形式存储的钥匙是秘密钥匙,或是一个对应证书链中公有钥匙的私有钥匙.
2.信任证书入口(TrustCertEntry):包含一个属于其他部分的单一公共钥匙证书.它之所以被称为"信任证书",是因为keystore信任的证书中的公共钥匙真正属于证书所有者的身份识别.
Keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名(alias)访问. 别名是不区分大小写的.如别名HaHa和haha指向同一个keystore入口.
可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙(Public Key)和私有钥匙(Private Key))时指定别名.也可以用-import参数加一个证书或证书链到信任证书.
如:
keytool -genkey -alias duke -keypass dukekeypasswd
其中duke为别名,dukekeypasswd为duke别名的密码.这行命令的作用是产生一个新的公共/私有钥匙对.
假如你想修改密码,可以用:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
将旧密码dukekeypasswd改为newpass.
Keystore的产生:
1.当使用-genkey 或-import或-identitydb命令添加数据到一个keystore,而当这个keystore不存在时,产生一个keystore.默认名是.keystore,存放到user-home目录.
2.当用-keystore指定时,将产生指定的keystore.
Keystore的实现:
Keystore类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息.
目前有两个命令行:keytool和jarsinger,一个GUI工具Policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
Keystore还有一个sun公司提供的內在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"JKS".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.
支持的算法和钥匙大小:
keytool允许用户指定钥匙对和注册密码服务供应者所提供的签名算法.缺省的钥匙对产生算法是"DSA".假如私有钥匙是"DSA"类型,缺省签名算法是"SHA1withDSA",假如私有钥匙是"RSA"类型,缺省算法是"MD5withRSA".
当产生一个DSA钥匙对,钥匙必须在512-1024位之间.对任何算法的缺省钥匙大小是1024位.
证书:
一个证书是一个实体的数字签名,指出其他实体的公共钥匙有明确的值.
1.公共钥匙:是同一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;
2.数字签名:假如数据已被签名,并用身份存储在一个实体中,一个签名能够证明这个实体知道这个数据.这个数据用实体私有钥匙签名并递交;
3.身份:知道实体的方法.在一些系统中身份是公共钥匙,其他系统中可以是从一个X.509名字的邮件地址的Unix UID来的任何东西;
4.签名:一个签名用用实体私有钥匙来计算某些加密数据;
5.私有钥匙:是一些数字,每一个私有钥匙只能被特定的拥有该私有钥匙的实体知道.私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.一个公共钥匙加密(如DSA),一个私有钥匙与一个正确的公共钥匙通信.私有钥匙用来计算签名.
6.实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.
Keytool应用实例:
1.产生一个keystore:
keytool -genkey -alias User(keystore的别名) -keyalg RSA -validity 7 -keystore keystore(指定keystore).
运行这个命令,系统提示:
Enter keystore password:yourpassword(输入密码)
What is your first and last name?
[Unknown]: your name(输入你的名字)
What is the name of your organizational unit?
[Unknown]:your organizational(输入你所在组织单位的名字)
What is the name of your organization?
[Unknown]:your organization name (输入你所在组织的名字)
What is the name of your City or Locality?
[Unknown]:your city name(输入所在城市的名字)
What is the name of your State or Province?
[Unknown]:your provice name(输入所在省份名字)
What is the two-letter country code for this unit?
[Unknown]:cn(输入国家名字)
Is CN=your name, OU=your organizaion, O="your organization name",
L=your city name, ST=your province name, C=cn correct?
[no]: yes
2.检查一个keystore:
keytool -list -v -keystore keystore
Enter keystore password:your password(输入密码)
将显示keystore內容如:
Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: yourname
Creation date: Dec 20, 2001
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=yourname, OU=your organization, O="your organization name",
L=your city name, ST=your province name, C=CN
Issuer: CN=Duke, OU=Java Software, O="Sun Microsystems, Inc.", L=Palo Alto, ST=CA, C=US
Serial number: 3c22adc1
Valid from: Thu Dec 20 19:34:25 PST 2001 until: Thu Dec 27 19:34:25 PST 2001
Certificate fingerprints:
MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0
SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74
3.输出keystore到一个文件:testcert:
keytool -export -alias duke -keystore keystore -rfc -file testcert.cer
系统输出:
Enter keystore password:your password(输入密码)
Certificate stored in file < td>
4.输入证书到一个新的truststore:
keytool -import -alias dukecert -file testcert.cer -keystore truststore
Enter keystore password:your new password.(输入truststore新密码)
5.检查truststore:
keytool -list -v -keystore truststore
系统将显示truststore的信息.
现在可以用适当的keystore运行你的应用程序.如:
java -Djavax.net.ssl.keyStore=keystore -Djavax.net.ssl.keyStorePassword=password ServerClass
和: java -Djavax.net.ssl.trustStore=truststore
-Djavax.net.ssl.trustStorePassword=trustword Client
6. 打印一个证书:
keytool -printcert -v -file testcert.cer
7. 产生一个证书签名申请:
keytool -certreq -alias dukecert -keyalg RSA -file dukecertreq.csr -keystore truststore -storepass password_here
这样就会在当前目录生成一个证书签名申请文件:dukecertreq.csr
***********************************************************************************
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBsjCCARsCAQAwcjELMAkGA1UEBhMCTVkxCzAJBgNVBAgTAktMMQswCQYDVQQHEwJLTDEXMBUG
A1UEChMOSVBGUmVtb3RlQWdlbnQxFzAVBgNVBAsTDklQRlJlbW90ZUFnZW50MRcwFQYDVQQDEw5J
UEZSZW1vdGVBZ2VudDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAkYR2T6Uuum0pJy7BnNjN
XH20f8DDiJzGaHbcj0o714l1MBjRX+gahNvTzoJLcW9r7DIcmRf2zj0ha7CW34emSXKdkLEryW3i
pBN0CKCvWMProgiy5YhqiheKGZt3zrM++BqNl8V7RO3UIFYe9lh1JEwwYPSvENBmyf92J2vCUd0C
AwEAAaAAMA0GCSqGSIb3DQEBBQUAA4GBAITJQp+pxueJ4XdUfsMvWH+5pZF2wVGmRkUnKmCpp/xn
JH+bka1bUSDRXY0gOMhwn/tfcrriZfW/oHXYao0yBOcGoCLq6Ce/l8BPdkJFHzzQVRlmS2dqUYq1
P9/gDk4lX5HS8mFYQAyahW1p+N1qCdGhD3NCz47BPRZy0qnph2KH
-----END NEW CERTIFICATE REQUEST-----
***********************************************************************************
提交文件dukecertreq.csr给证书认证机构, 如VeriSign, 证书认证机构将会验证你的身份, 然后发送一个或者一串证书给你。
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/tohmin/archive/2008/12/08/3474633.aspx
分享到:
相关推荐
java keytool gui 图形工具 portecle-1.7.zip Portecle 是一个图形化界面的 JDK 中的命令行工具 keytool ,可生成各种不同类型的密钥库,生成并存储相关的 X.509 证书、生成 CSRs、导入和储存信任的证书并进行维护。...
java源码:密钥管理工具 Keytool-IUI.zip
下面我们将详细探讨Java Keytool的使用方法和相关知识点。 1. **证书与密钥对** 数字证书是一种电子文档,用于证明网络实体的身份。它包含了公钥和相关标识信息,由可信的证书颁发机构(CA)签名。密钥对包括一个...
Java Keytool是一个强大的工具,主要用于管理和操作密钥对和数字证书,这些是Java安全框架中的核心元素。在Java Secure Socket Extension (JSSE) 中,它扮演着创建和管理KeyStore和TrustStore的角色,以实现SSL/TLS...
`KeyToolGui` 是一个用于管理数字证书的图形化工具,它基于Java的命令行工具`keytool`进行扩展,为用户提供了一个更加友好的界面来执行各种与密钥和证书相关的操作。在Java开发和部署环境中,尤其是在涉及到SSL/TLS...
Java代码验证keytool工具生成的密钥对是一个关键的安全操作,尤其在开发和部署SSL/TLS加密、Android应用签名或服务器身份验证等场景中。Keytool是Java Development Kit(JDK)自带的一个命令行工具,用于管理公钥/...
### Java Keytool 使用详解 #### 一、Keytool 概述 `keytool` 是 Java 提供的一个强大的命令行工具,用于管理和维护 Java 应用程序的安全性,特别是密钥和证书方面。它允许用户创建、导入、导出、查看和删除密钥库...
Java的Keytool GUI图形工具是Java开发者和系统管理员在处理数字证书和密钥对时的重要辅助工具。Keytool是Java自带的一个命令行工具,用于管理Java Keystore,它包含了公钥、私钥以及证书链。然而,对于不熟悉命令行...
接下来,我们将使用Java的Keytool工具来生成RSA密钥对。Keytool是一个命令行工具,位于JDK的bin目录下。生成密钥对的命令格式如下: ``` keytool -genkeypair -alias <别名> -keyalg RSA -keysize <密钥长度> -...
2. **Keytool命令行工具**:Keytool是Java的标准工具,用于生成、存储、导出、导入和管理密钥对及证书。它可以创建Keystore,这是存储密钥对和证书的安全库,支持多种格式如JKS(Java Key Store)和PKCS12。 3. **...
标题“KeyTool_GUI”指的是Java自带的一个命令行工具KeyTool的图形用户界面版本。KeyTool是Java开发工具包(JDK)中用于管理公钥基础设施(PKI)的工具,主要用于创建、管理和导出数字证书、密钥对以及信任存储。在...
Java Keytool 是 Java 自带的一个密钥和证书管理工具,能够管理自己的公钥/私钥对及相关证书,用于自我认证、数据完整性以及认证服务。Keytool 将密钥和证书储存在一个所谓的密钥仓库(keystore)中,缺省的密钥仓库...
在这个主题中,我们将深入探讨`keytool`的使用方法以及如何在实际场景中应用数字证书。 首先,我们来看一下如何生成一个数字证书。在命令行中,你可以使用`keytool`命令来创建一个新的Key Pair(密钥对),并将其...
Java_keytool密钥存储文件是使用Java_keytool工具生成服务器配置SSL使用的密钥存储文件。该文件是一个容器,用于存储密钥和证书,它是SSL/TLS加密协议的基础组件。本文将详细介绍生成密钥存储文件、产生SSL证书请求...
Java的密钥管理工具Keytool-IUI是Java开发人员在处理加密、安全通信以及数字证书时不可或缺的一个实用程序。Keytool-IUI是对Java标准版(JDK)自带的keytool命令行工具的一种增强,提供了更加用户友好的图形界面,...
对于初学者,理解并正确使用 `keytool` 工具是提高Java安全编程能力的重要步骤。通过`keytool_gui`,用户无需记住复杂的命令行参数,可以更方便地进行证书管理和密钥库操作,这对于不熟悉命令行环境的开发者来说是一...
总结起来,KeyTool 1.6作为数字证书工具,是Java环境下的基础安全工具,对于任何需要处理加密通信的开发者来说,理解和熟练使用KeyTool都是非常必要的。通过掌握如何生成、管理以及交互数字证书,我们可以确保网络...
KeyTool工具生成X.509证书是Java平台自带的一个命令行工具,它主要用于管理和操作密钥对(公钥和私钥)以及数字证书。在本文中,我们将深入探讨KeyTool的基本用法、X.509证书的概念,以及如何使用KeyTool生成这种...
KeyTool是Java Development Kit (JDK)自带的一个命令行工具,它主要用于创建、管理及导出数字证书和密钥对。这些证书用于验证服务器的身份,确保数据传输的安全性,比如在HTTPS协议中。 2. **证书与密钥** - **...